jester2b
Goto Top

W32 Stanit

Hat den jemand von Euch schon gehabt?

Hallo!

Ich sollte vor kurzem bei einem Bekannten einen Drucker neu einrichten (ich war zufällig da, er ist kein Kunde von mir) und entdeckte dabei zufällig eine Vireninfektion mit AntiVir Personal durch W32/Stanit. Suchmaschinen spuckten gar nichts zu dem Thema aus.

Das Ding hat fast sämltiche installierten Programme befallen. Fast alle exes auf dem Rechner wurden als infiziert gemeldet. Aber er hat gar nichts angerührt, was für den Betrieb von Windows wichtig wäre. Das bootet auch nach löschen aller infizierten Dateien sang- und klanglos. Anscheinend habe ich es sogar relativ leicht geschafft, alle befallenen Dateien zu löschen und die Infektion wirklich zu bereinigen. Das zeigt sich aber erst in den nächsten Tagen.

Dieses Mistding hat sogar AntiVir selbst befallen.

Kennt diesen Virus jemand von Euch? Mich interessiert nur, wieseo ein derartig gefährliches Ding auftaucht und man nur in einem einzigen (französischen) Forum einen Eintrag dazu findet. Auch die Virendatenbanken von H+B- Edv, Sophos und Symantec kennen ihn nicht.

Danke schon mal für Eure Antworten.

Gruß,

Content-ID: 13265

Url: https://administrator.de/contentid/13265

Ausgedruckt am: 05.11.2024 um 17:11 Uhr

11078
11078 18.07.2005 um 08:23:45 Uhr
Goto Top
Hallo,

die vermutlich ganz einfache Antwort: Das Ding ist anscheinend erstmal so um den 14.07. aufgetaucht (älteste Einträge in Google). Dann war Wochenende, was immer ein etwas blöder Zeitpunkt ist und die Bots der Suchmaschinen kommen auch nicht täglich auf jede Seite, um neue Vorkommen (resp. Seiten, auf denen darüber diskutiert wird) des Virus in Foren etc. zeitnah in die Datenbank aufzunehmen. In den nächsten tagen wird das Netz also vermutlich mit Eintträgen zu Stanit voll sein.

Das spricht alles sehr für AntiVir, denn die meisten anderen Programme scheinen das Teil selbst heute (18.07) noch nicht zu erkennen. Siehe auch hier:
http://groups.google.de/group/alt.comp.anti-virus/browse_thread/thread/ ...

Ein Problem scheint auch die "Nomenklatur" von Viren zu sein. Siehe den angegebenen Link: Hier scheinen manche Programme das Mistding auch als "Tenga" oder "Gael.3666" zu erkennen.

Gruß,
TIM
15113
15113 19.07.2005 um 19:33:38 Uhr
Goto Top
Hallo und guten Abend!
Brauche Hilfe für meinen Schwager in Berlin, hat den Virus auf dem Rechner und brav alles gelöscht, was Antivir ihm angeboten hat. Nun kommt er nicht mehr "rein", weil XPP ein kennwort haben will, er aber nie ein Kennwort bei der Installation angegeben hat. Auch ein Bekannter vor Ort ist über die konsole "machtlos". Hat jemand eine Idee oder sollte XP komplett neu installiert werden??
Danke schonmal

Gruss,
Kuhawi
11078
11078 19.07.2005 um 19:38:58 Uhr
Goto Top
Hallo,

welches XP ist es denn? Home oder Professional?


TIM
15113
15113 19.07.2005 um 19:39:36 Uhr
Goto Top
Hi, XPP = XP Professional
11078
11078 19.07.2005 um 19:51:48 Uhr
Goto Top
Hallo,

ok face-smile Hatte gedacht, das zweite P sei ein Schreibfehler...

Also er muss eigentlich bei der Installation mindestens ein Passwort für den Standard-Admin-Account eingegeben haben, weil meines Wissens nach ansonsten die Installation nicht weitergeht.

Aber egal, für den Fall, dass ich mich irre und er da doch keines angegeben hat, dann soll er einfach keins eingeben, also: Beim Windows-Anmeldeschirm als Benutzername "Administrator" eingeben und das Passwort leer lassen.

Hilft das alles nichts, dann gibt es auch noch diverse Diskettenlösungen, über die man angeblich sein Passwort zurücksetzen kann. Schau mal hier:
http://www.wintotal.de/Artikel/adminpw/adminpw.php

Was mich viel mehr interessieren würde: Was hat er denn gemacht, um den Virus zu entfernen?


Gruß,
TIM
15113
15113 19.07.2005 um 20:04:32 Uhr
Goto Top
Danke erstmal..

Das Problem scheint wohl doch heftiger zu sein.

Antivir hat ihm einen Virus gemeldet W32/Stanit und angeboten zu löschen und er hat gelöscht und gelöscht und gelöscht....

und dann bootet XP hoch und will ein kennwort, was vorher nie der Fall war
sein kollege ist über die Wiederherstellungskonsole drin und hat wohl über chkdsk ein(ige) fehlerhafte dateien gefunden, aber letztlich will XP ein Kennwort und das gibt es nicht.

naja, wäre toll gewesen, wenn jemand den Geistesblitz gehabt hätte, aber vielleicht kommt er ja noch.

Der Link nutzt leider nicht viel, weil die Beiden den Rechner garnicht zum Laufen bekommen.

Gruss,
kurt
11078
11078 19.07.2005 um 22:18:56 Uhr
Goto Top
Hallo,


Habe auch noch Antivir
installiert, das erkennt zwarv Stanit, kann
aber die infizierten exen nicht reparieren.
Wie soll denn das weitergehen?


Das ist das perfide an Viren, die Programmdateien befallen. Entweder tauschen sie das Originalprogramm komplett aus oder - und das ist eigentlich noch schlimmer - sie schleusen ihren Code in das ursprüngliche Programm ein. In einem solchen Fall wird der Code aber nicht einfach an den bestehenden Code angehangen, so dass man einen klaren Schnitt machen könnte, also "bis hier ist das echte Programm und hier beginnt der Virencode; also muss ich ab hier alles von der exe abschneiden".

Vielmehr ist es so, dass auch der ursprüngliche Code der exe verändert wird: hier werden Einsprungpunkte verändert, etc. Unterm Strich kommt je nach "Perfektion" des Virus ein nicht mehr zu entwirrendes Gewühl heraus, das sich meistens nicht reparieren lässt. Viren wie Stanit, die gleich dutzende von (zum Teil auch System-) Programmen befallen kann man deshalb nur auf eine Art beseitigen: Platte platt machen und neu installieren; da hilft nur noch eine rasche Datensicherung.

Gegen solche Viren hilft deshalb nur die Prävention richtig gut. Meine damit: Ein immer komplett gepachtes System, auch wenn es nur geringer Schutz ist eine (Software-)Firewall, so dass man wenigstens gewarnt ist, wenn Verbindungen eingehen, die ungewöhnlich sind. Dann sollte man nie mit einem Admin-Account surfen, da sich dadurch auch Viren mit Admin-Rechten installieren und verbreiten können. Ganz wichtig auch: Wählerisch sein, welche Mail-Attachments man öffnet, welche Programme man installiert (Quelle sicher? Evtl. schon ersichtlich, dass es Malware ist?).

Ich hab da mal für meine Benutzer meine Vorschläge zur Prävention zusammengefasst - vielleicht hilft es ja für's nächste Mal was oder vielleicht habt Ihr noch Ergänzungen:

http://www.cip.phil3.uni-wuerzburg.de/content/ciphilfe/grundwissen/vire ...

Das mit dem Verhindern von Virenupdates (zumindest bei Programmen der namhaften Hersteller) ist anscheinend der neue Trend unter Virenprogrammierern. Aber wenn der Virus sofort erkannt wird, im besten Fall bevor er etwas anrichten kann, gibt es erst gar nichts zu blocken.

Ich habe früher auch NAV benutzt, und habe mich damals schon gefragt, ob das so gut ist, dass LiveUpdate nur alle paar Tage automatisch nach Updates suchen will. Wenn man sich die Update-Zeiten von z.B. Sophos anschaut dann komme ich auf Updates 3 - 4 Mal am Tag. Das scheint mir bei der Rate von neuen Viren und Erscheinen von "Mutationen" bekannter Virenfamilien sinnvoller als nur alle paar Tage.

Gruß,
TIM
6934
6934 23.07.2005 um 23:32:53 Uhr
Goto Top
norbi
norbi 26.07.2005 um 15:11:28 Uhr
Goto Top
Es gibt da zur Not auch noch ein Tool von MC Affee --- > Stinger < ---
Erkennt ganz gut Viren und ist Freeware...
Link: http://download.nai.com/products/mcafee-avert/s-t-i-n-g-e-r.exe

Gruß
Norb
Phoenix-Web
Phoenix-Web 27.07.2005 um 09:32:21 Uhr
Goto Top
Also... ich hab den Virus jetzt auch seit vorgerstern (Mon, 25.07.2005).
Entdeckt hatte den Virus AntiVir PE und auch gleich erstmal die hälte aller ausführbaren Dateien gelöscht...
Habe zwei Scans gemacht jedesmal 54 Dateien gefunden und gelöscht....
Dann habe ich in irgendeinem Forum gelesen McAfee würde den finden und eleminieren können.
Prompt habe ich mir die Trial geholt und ausgeführt.
Das tolle ist das McAfee den Virus garnicht gefunden hat, dafür hat meine neu installierte Personal Firewall vier Mal einen Wurm in "\System Volume Information" gefunden.
Nocheinmal Google aufgerufen und gesucht.
Als Lösung wurde mir vorgeschlagen die Systemwiederherstellung von WinXP Pro zu deaktivieren, dann im abgesicherten Modus zu starten und erneut zu scannen.
Leider bin ich z.Z. auf der Arbeit und kann das jetzt nicht ausprobieren.

Mein Plan für den Feierabend:
1. Systemwiederherstellung deaktiveren
2. Im Abgesicherten Modus mit allen mir verfügbaren Scannern suchen (auch ne LiveCD mit Virenscanner)
3. Vielleicht noch nach Rootkits suchen

Links dazu:
http://www.tutorials.de/tutorials214302.html
http://www.trojaner-board.de/archive/index.php/t-19886.html
http://www.supportnet.de/threads/1104156
http://www.bsi.de/av/texte/wiederher_xp.htm
http://de.wikipedia.org/wiki/Rootkit

So.. auf gutes Gelingen face-smile
11078
11078 27.07.2005 um 20:34:55 Uhr
Goto Top
Hallo,

in C:\SYSTEM VOLUME INFORMATION werden die Wiederherstellungspunkte von XP gespeichert. Wenn Du die Systemwiederherstellung mal kurz abschaltest und neu startest, kannst Du in diesem Ordner auch Daten löschen. Wenn Du keine Wiederherstellungspunkte brauchst, lösch den gesamten Ordnerinhalt.


Gruß,
TIM
Phoenix-Web
Phoenix-Web 28.07.2005 um 14:47:20 Uhr
Goto Top
So.. nu zum meinem Bericht von gestern

Das mit der Systemwiederherstellung deaktivieren hat schon mal nicht so super geklappt.
Zugriff habe ich erst bekommen als ich mir die Berechtigungen selbst zurechtgebogen hatte.
Dazu hab ich folgenden Befehl benutzt:
cacls "C:\System Volume Information" /E /G AktuellerBenutzername:F
Erst dann konnte ich in den Ordner. Komischerweise hat irgend etwas den Ordner wieder erstellt und die Rechte wieder zurück gesetzt, wenn ich den Ordner komplett gelöscht habe.
Ich habe das ganze dann einfach im Abgesicherten Modus gemacht.

1. SysWiederherstellung deaktiviert
2. RegEintrag für Administrative Freigaben deaktivieren hinzugefügt
-> in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Lanmanserver\ Parameters
-> neues DWORD mit dem Namen "AutoShareWks"
-> Den Wert dafür auf "0" setzen
3. Alle anderen Freigaben beendet
4. Alle Accounts bis auf Administrator und meinem Benutzer gelöscht bzw. deaktiviert
5. Hab zur Sicherheit nochmal allen Benutzern nen neues Passwort zugewiesen
6. Starten im Abges.Modus
7. Rechte umbiegen
8. Scannen mit McAfee
9. Neustart

Nachdem ich im Verzeichnis "System Volume Information" (welches immer wieder angelegt wird?) immer wieder eine TRACKING.LOG (20 kb groß) und eine ...Mount... Datei (0 kb) gefunden hab, habe ich einfach alle verbleibenden Dateien mit nem Editor leer gemacht und einen Schreibschutz gesetzt.

Jetzt hab ich z.Z. keine Viren mehr gefunden und es sind auch keine weiteren Trojaner aufgetaucht wenn ich eine Homepage im Internetaufgerufen habe.

Ich hoffe mal ich bin damit jetzt erstmal durch...
Seit X Jahre mal wieder nen Virus und der macht dann auch gleich so einen Terror
hildefeuer
hildefeuer 31.07.2005 um 14:56:38 Uhr
Goto Top
Ich hatte den W32/Stanit am 29.07.2005 5:38:17.

Es waren ca. 50-60 exe Dateien befallen. PE Antivir hatte gemeldet blockieren reichte aber nicht, bis ich auf die Datei-Löschen Option gewechselt hatte waren ca. 60 Dateien infiziert. Der Virus hatte sich am Datum der Dateien orientiert und neueste Dateinen zuerst infiziert. Als allererste wurde eine exe in meinem Download-Verzeichniß von Shereza infiziert. Die Datei war allerdings schon vom Mai. Exe die eingepackt waren wurden nicht infiziert. Mein System XP home lief danach noch (Systemwiederherstellung ist bei mir seit Jahren deaktiviert) und lies sich auch noch booten. Der Update von PE-Antivir war vom 25. oder 26.07. Ich führte sofort einen update durch.

Zum Infektionszeitpunkt lief Skype und Shereza (hier wurde auch geladen an einem ISOimage geladen LA.....demnächst im Kino, via bit-torrent goldesel), ich istallierte gerade Nero neu.

Ich ließ anschließend den Virenscanner laufen und infizierte Dateinen löschen, zusätzlich noch einmal im abgesichteren Modus. Danach machte ich noch bei McAfee einen online-scann. Wurde dann nichts mehr gefunden. Danach habe ich einige wichtige exe wiederhergestellt aus backup( z. B. meine Shopsoftware).

Danach wurden die Platten geprüft und Fehler auf einer Partion der 2. Festplatte. Genau hier waren ausschließlich mp3's. Daran arbeite ich noch heute. Ich boote von der 1. Platte, dort waren keine Fehler.

Nachmittags wagte ich wieder Shereza zu starten und wieder Virus-Warnung.
Wieder war zuerst der Shop befallen.

Offensichtlich kommt das Ding über Shereazaa bit-torrents und infiziert exe anhand des Datums neue zuerst. Warum nun der Shop beim 2. Mal zuerst infiziert wurde ist nicht klar, allerdings ist der auf D: installiert.

Weis jemand was der W32/Stanit genau macht?
15545
15545 01.08.2005 um 14:18:34 Uhr
Goto Top
Ja ich kann da nur sagen willkommen im Club. Ich habe mir den Virus wahrscheinlich von einer Lanparty eingefangen und erleide nun einen massiven Datenverlust.
Also vorsicht bei einer Lanparty am besten erst alle Rechner unverkabelt nach Viren scannen sonst droht nach dem nächsten Neustart ein böses erwachen. ACHTUNG!!! Es muss eine Aktuelle Version von Antivir Installiert sein sonst findet er nichts!!! Wenn man trotz Virenscann noch auf Nummer sicher gehen will am besten die wichtigsten exe Dateien archivieren den diese bleiben unversehrt!!!!!
Ich hatte bisher 1100 Meldungen bei AntiVir und ein Ende ist noch nicht in Sicht.
Falls noch jemand das Bedürfniss hat Antivir zu Installieren das aber nicht Funktioniert sollte er einmall von einem 2ten Pc aus eine Cd mit der Installationsdatei davon Brennen, denn eine Cd Kann ein Virus zum Glück nicht Befallen. Bei mir war das zumindestens die Lösung den Virus loszuwerden.

MFG

LOD
15545
15545 03.08.2005 um 11:06:26 Uhr
Goto Top
Ich hatte diese Meldung mit dem Administratorfenster auch aber ich brauchte dort nichts eingeben habe einfach ok geklickt und das ging, aber ich glaube das liegt daran da ich bei der installation von Windows nie ein Passwort eingegeben habe. Ihr könnt höchstens nch versuchen über dem Abgesicherten Modus reinzukommen. z.B. Wenn ihr neben dem Administrator Account noch ein anderen Account hattet. Ansonsten versucht doch ruhig das Programm das das Passwort von Windows entfernen soll.
nbsnoopy
nbsnoopy 04.08.2005 um 08:00:36 Uhr
Goto Top
hi,
ich habe den virus gestern bekommen ..
er hat gleich mal als erstes antivir bei mir zerstört. ich konnte es aber dann doch starten über das netzwerk und den computer meines mannes .. 1400 exe dateien waren betroffen, die er mir mal gleich alle gelöscht hat - inkl. der Systemwiederherstellung, Outlook, Internetexplorer und anscheinend noch einigen anderen Systemdateien ...
Jetzt komme ich aber nicht mehr in meinen Computer rein! Es funktioniert auch nicht im abgesicherten Modus .. ich bin echt verzweifelt!

Hilft wirklich nur die brutale "alles neu installieren" Methode?
15545
15545 04.08.2005 um 09:47:06 Uhr
Goto Top
Hier ich hab im Inet eine Seite gefunden wie man das Administrator Passwort wiederherstellt, weiß aber nicht ob das auch funktioniert:
http://board.protecus.de/showtopic.php?threadid=268

Wenn allerdings ein 2 ter Pc zur verfügung steht würde ich sagen man sollte die Festplatte einfach in den anderen einbauenl diese aber jedoch vor dem kopieren der wichtigsten Dateien vorsichtshalber nochmal scannen.
Ansonsten gibt es da wohl nur noch die möglichkeit nach einem Windows XP Passwort Knacker bei Google weiter zu suchen, oder die altbewerte Format C: methode.
Phoenix-Web
Phoenix-Web 04.08.2005 um 10:24:40 Uhr
Goto Top
Also für das Adminpasswortproblem würd ich einfach ne Bootable CD mit NTpasswd erstellen:
http://home.eunet.no/~pnordahl/ntpasswd/
oder auch ne Disk, wenn man noch nen Laufwerk hat ^^

Bin übrigens zu Plan B übergeganegn und hab halle Rechner geplättet....
Nun ist wieder Ruhe face-smile
hildefeuer
hildefeuer 04.08.2005 um 13:47:21 Uhr
Goto Top
Ich hatte berichtet dass ich den Virus am 29.07. hatte und mein System nicht so stark betroffen war.

Also ich habe alle exe files die von W32/Stanit infiziert waren per Antivir löschen können, bis auf ein File. Das befand sich in der System Volume information auf 2 Partitionen (Laufwerk C und E). Laufwerk E habe ich leer gemacht und formatiert. Auf C habe ich versucht den Schriebschutz zu öffnen, der auf dem Ordner System Volume information liegt.
Irgend wie fragt nicht wie.. ist dies gelungen. Anschließend fand der Virenscanner den Virus und ließ sich löschen. Das war am 31.07. seit dem läuft mein System offensichtlich stabil, es wurden keine Viren mehr gemeldet.

Auf irgendeiner Seite fand ich dass häufig Viren via Port 139 hereinkommen. Der Port wird bei XP bei Datei/Druckerfreigabe für Netzwerk offensichtlich geöffnet. In der Firewall/Ausnahmen/Bearbeiten war bei Datei-Druckerfreigabe ein Haken bei Port 139 den ich deshalb weggenommen habe. Allerdings habe ich den Rechner noch nicht wieder im Netzwerk betrieben (aus Sicherheitsgründen).

Auf Sherezaa habe ich bislang auch verzichtet. Die MP3 konnte ich reparieren. Die Fehler auf der Festplatte waren wohl dadurch entstanden, weil ich den Rechner im Betrieb ausgeschaltet hatte.
Kaspersky antivirus hatte auch nichts mehr gefunden. Das habe ich aber wieder deinstalliert, weil mein System P4 1,8GHz dann zu langsam wurde. Kasperski antivir prüft offensichtlich permanent im Hintergrund die Platten und will alle paar Stunden ins Netz. Dadurch wird arbeiten unmöglich.
toi toi toi...
hildefeuer
Phoenix-Web
Phoenix-Web 04.08.2005 um 14:01:29 Uhr
Goto Top
Per Fileshare-Software habe ich den wohl nicht bekommen, da ich keine habe.
Allerdings ist mir bei der ganzen Umbauaktion meiner Rechner aufgefallen, das ich irgendwann mal zwecks Direct-IP-Gaming meine Firewall von Port 1-60000 oderso vollkommen offen gelegt hatte. Naja, jetzt sind nur noch die Dienste offen, die ich brauche und der Rest (139, 135, etc.) sind nur noch Intern zu erreichen.
Denke ich muss mir den über nen Adminshare oderso geholt haben...
nbsnoopy
nbsnoopy 04.08.2005 um 14:08:19 Uhr
Goto Top
woher meiner gekommen ist weiß ich auch nicht ..
ich schäte aber übers netzwerk nur hat er am anderen computer nicht so großen schaden angerichtet wie bei mir!
was komisch ist, er setzt sich auch bei exe dateien an, die man nicht benützt! da waren sachen dabei, die hab ich sicher schon länger nimma aufgemacht gehabt ...

mal schauen, werde heute nochmal einen reperaturversuch starten, dann alle möglichen virenprogramme installieren und alles überprüfen ..
ich glaub dann sicher ich alles und formatier C neu - es ist mir zu gefährlich, nicht daß er sich auf den anderen festplattenpartitionen auch festsetzt!
Phoenix-Web
Phoenix-Web 04.08.2005 um 14:13:05 Uhr
Goto Top
dito..
bin jetzt fast mit allen rechnern durch...
aber für den erste hilfe fall haben mir die links die ich oben im beitrag angeben habe sehr geholfen...
und das umbiegen der Systemrechte auf den Wiederherstellungsordner mit:
cacls "C:\System Volume Information" /E /G AktuellerBenutzername:F
HLehm
HLehm 08.08.2005 um 09:18:08 Uhr
Goto Top
Hi Leute,
Also,das sich W32/stanit übers Netzwerk verbreitet, kann ich nicht bestätigen. Habe 4 Rechner (mit ständigem Datenaustausch) und nur einer ist verseucht. Leider half auch platt-machen (neu part.,mit 0 überschreiben,neu format.) und XP neu install. nichts. Hatte ihn nach kurzer Zeit wieder.
Folgendes ist mir aber aufgefallen:
1.auf dem befallenden PC war am Router Port 47624 geöffnet (MS-Games)
2. Sehr häufig wird der Virus im Zusammenhang mit Antivir genannt(vielleicht ne Fehlfunktion?).

Habe auf Empfehlung hier mal Nod32 install und werd den mal ne Woche laufen lassen.
Phoenix-Web
Phoenix-Web 08.08.2005 um 09:36:18 Uhr
Goto Top
2. Sehr häufig wird der Virus im
Zusammenhang mit Antivir genannt(vielleicht
ne Fehlfunktion?).

Habe ich mir auch schon mal Gedanken drüber gemacht.
Vielleicht ist die Heuristik in AntiVir auch einfach zu hoch eingestellt?

Naja, bis jetzt ist wieder alles normal bei mir face-smile
nbsnoopy
nbsnoopy 08.08.2005 um 09:59:48 Uhr
Goto Top
ich hab meine festplatte auf nem anderen compi angeschlossen und nochmal viren scan drüberlaufen lassen ... es waren nochmal 1000 dateien infisziert. dann hab ich einfach alles neu formatiert .. bis jetzt gehts, aber ich wills nicht verschreien!

hab zu sicherheit noch ein anderes virenprogram installiert und ne extra firewall, weil eigentlich sollt ich eine übers modem haben ...

jetzt heißt es wohl abwarten und am besten jeden tag 2x checken obs viren gibt ..
11078
11078 08.08.2005 um 10:14:06 Uhr
Goto Top
Hallo,

2. Sehr häufig wird der Virus im
Zusammenhang mit Antivir genannt(vielleicht
ne Fehlfunktion?).

das hat wohl zwei Gründe:

1. Ist AntiVir das Programm, das wohl ein überwiegender Teil zumindest der Windows-Nutzer aus dem deutschsprachigen Raum nutzt.

2. Gibt es keine einheitliche Nomenklatur für Viren, Würmer, etc. Jeder Hersteller von Anti-Viren-Software darf da im Prinzip einen eigenen Namen für denselben Schädling vergeben. Siehe: http://www.sophos.de/virusinfo/analyses/w32tengaa.html - hier wird Stanit gleich unter sechs weiteren Namen geführt.

Gruß,
TIM
HLehm
HLehm 08.08.2005 um 10:32:58 Uhr
Goto Top
<<<Habe ich mir auch schon mal Gedanken drüber gemacht.
<<<Vielleicht ist die Heuristik in AntiVir auch einfach zu hoch eingestellt

Komisch ist nur, habe Antivir-Premium auf allen Rechnern zu laufen (Win32-Heuristik auf mittel) und nur 1 PC hat den Virus.
Ich tippe doch auf Port 47624.
Zur Beseitigung auf jedenfall die Systemwiederherstellung deaktivieren und Restore-Dateien löschen(z.B. mit Safe-erase von O&O).
Herrscher
Herrscher 08.08.2005 um 18:58:06 Uhr
Goto Top
Das witzige ist jetzt, jedesmal wenn der
Bildschirmschoner angeht wird die System
Volume Information infiziert. Hat dazu
jemand eine Idee? Das ist doch nicht normal!

Jeder Bildschirmschoner ist ebenfalls eine EXE-Datei, allerdings mit der Endung SCR.
Diese müsstest Du also auch löschen (bzw. Scannen).
Zudem werden auch DLLs befallen (ebenfalls MZ-Header wie EXE).
Generell sind auch COM, OCX, etc. tauglich Viren zu enthalten.


Ich tippe doch auf Port 47624.

Ich nicht.

Aber erstmal: Schön, daß ich euch gefunden habe. face-smile

Zu mir:

Ich wollte den Laptop meiner Freundin (Win XP Home) mal neu aufsetzen, daher mal 'ne Mega-80-GB-Sicherung in Angriff genommen.
Dazu auf meinem XP Prof Rechner (den ich vor ca. 3 Wochen neu aufsetzte) auf einem 160-GB-Drive eine Freigabe (ohne PW) erstellt, und über LAN nach und nach den Krempel gesichert.

Da ich z.Z. keine Kauf-Version eines Scanners habe, hatte ich mir mal AVG Free heruntergeladen, und benutzt.
Und irgendwann meldete der mir im freigebenen Verzeichnis "VIRUS FOUND".

Und zwar mehrere. Ein W32.Gaelicum IIRC.

Dazu fand' ich nicht viel, ausser daß er vom Licum abstammt und über den uralten RPC Exploit und NW-Freigaben sich verbreitet.

Aber auf dem Hauptrechner hier hab' ich direkt mit SP2 integriert installiert, und auf dem Laptop der Freundin war eh von Anfang an SP2 drauf, die 2003er Lücke also lange geschlossen.

(Auf beiden wurde auch ntsvcfg ausgeführt!)

Bleibt nur die NW-Freigabe.

Ich habe wie gesagt nicht viel dazu gefunden, dachte aber, da der den alten RPC Exploit ausnutzt, das wäre ein uraltes Dingen. (Stand bei Symantec auch glaub' ich auf LOW)

Scheinbar nicht.

Ein Scan des Laptops brachte nichts aussergewöhnliches zu tage.

Auch sind die Originaldateien scheinbar nicht infiziert.
Z.B. hat die Mafia-Patch.exe auf dem Laptop um die 14 MB.
Die virenverseuchte gebackupte Version auf meiner Freigabe hat aber 51 KB (!!) (wie glaube ich jede verseuchte EXE).

Also habe ich mal zusätzlich zu AVG Free AntiVir PE wieder laufen lassen, obwohl die Server so saumässig sind. (Die seit kurzem abgelaufene BitDefender Version hat noch NICHTS gefunden!!)

Und siehe da: Quasi jede EXE in der Freigabe hat diesen Virus! (3.284 Dateien bis jetzt - scheint aber auch alles gewesen zu sein. (Allein das Windows-Verzeichnis hat ja Trilliarden EXEs!)
Allerdings heisst er unter AntiVir "Stanit" --> so hab' ich überhaupt zu euch gefunden! face-smile

Also nochmal: Original-Dateien auf dem Laptop NICHT infiziert, auf dem Hauptrechner alles ausser dem Freigabeverzeichnis AUCH sauber!!

Er hat also NW-Freigaben gemountet und infiziert!

Ich frage mich nur, woher die Ratte kommt!? Ich habe einen Router davor, auf dem nur die wichtigsten Sachen ein PFW haben. BitTorrent nutze ich auch schonmal, allerdings auf dem Hauptrechner, und da wäre es schwachsinnig, wenn er nur mein eigenes Freigabe-Verzeichnis infiziert.

Es sind noch 2 weitere Rechner aktiv im Netz, ein Server auf W2K Basis, auf dem CVS und Co. läuft, und ein weiterer Desktop mit XPP. Ich werde die natürlich auch scannen sobald ich wieder ran komme, aber da auf dem Server nichts aktiv genutzt wird und auf dem Desktop nur jeden Tag gesurft und -emailt kann ich nicht glauben, daß der sich was eingefangen hat.
Desktop hat auf jeden Fall auch SP2.
Server wahrscheinlich SP4.

Den genannten Port von Dir hab' ich mit Sicherheit NICHT frei zugänglich von aussen.
137/139 wird auch vom Router nicht durchgelassen.

Der Router selbst ist ein Linux-Rechner, also keine Chance für Windows-Viren.

Ich war mit meinem Rechner mal kurzzeitig "direkt" am Netz, allerdings brachte ein Scan ausserhalb der Freigabe nichts zu tage.

Da wir WLAN haben, könnte es sein, daß ein Bekannter mal mit dem Laptop da war, aber ich bezweifle das sehr.

Weiß schon jemand genaueres?!
nbsnoopy
nbsnoopy 12.08.2005 um 08:34:28 Uhr
Goto Top
also neu formatieren hat nicht wirklich viel gebracht ..
im ersten moment war zwar alles frei, aber getsern hab ich schon wieder nen stanit allarm gehabt .. auf einer restore datei! hab jetzt mal die systemwiederherstellung deaktiviert .. hoffe das bringt was! langsam wird der virus echt lästig!
nbsnoopy
nbsnoopy 12.08.2005 um 11:42:45 Uhr
Goto Top
ein freund von mir hat mir grad die info gecshrieben:

Typ: Virus Kategorie: Win32 Auch bekannt als Win32/Gael, Win32.Gael!downloader, Win32.Gael.A, W95/Gael.A (Norman), W32/Gael.worm.a (McAfee), W32.Licum (Symantec), W32/Tenga.3666 (F-Secure), PE_TENGA.A (Trend), W32/Tenga-A (Sophos), Virus.Win32.Tenga.a (Kaspersky)

also somit stimm ich der "fehler im antivir" these nimma zu ..
ist echt ein gemeiner und hinterlistiger virus!

ein remover - soll seh gut sein
http://www.sophos.de/virusinfo/analyses/w32tengaa.html

werd ihn gleich mal ausprobieren wenn ich zhaus bin .. hoffe sehr ich bekomm den stanit endlich weg!
HLehm
HLehm 13.08.2005 um 07:32:00 Uhr
Goto Top
Hi Leute !
Hatte vor einer Woche Nod32 install.( Übrigens wirklich sehr geil das Teil) und hatte auch die ganze Woche Ruhe.Dachte schon ich bin ihn los... Bis gestern Abend.... 12 infizierte Exe´n ... Nod32 erkennt Win32/Tenga.A
Also: Auch Nod32 (wie auch Antivir) erkennt die infizierten Exe`n, aber nicht den Virus selber.!!!Das könnte auch der Grund sein, warum die Probleme so beständig wiederkehren.
Jetzt gibt es eigentlichnur zwei Möglichkeiten:1. Er sitzt irgendwo res. im Speicher unerkannt oder 2. er kommt trotzt aller aktuellen Sicherheitupdates immer wieder neu rein(aber warum dann nur bei einem Rechner?).
ich tippe auf 1.
Bleibt nur zu Warten auf ne Möglichkeit den Virus zu erkennen und zu beseitigen.
Oder man nimmt ne auf CD-Rom lauffähige Linux-version ( z.B. Suse 9.1 live),macht den Rechner richtig platt und dann windows und alle sicherheitsupdates neu rauf und hoffen und beten.

Ich werde auf jedenfall noch nen bischen nach ner Lösung suchen

Gruß HLehm
HLehm
HLehm 13.08.2005 um 07:41:42 Uhr
Goto Top
@ ein remover - soll seh gut sein
http://www.sophos.de/virusinfo/analyses/w32tengaa.html

Wo hast da nen Remover gesehen???
Phoenix-Web
Phoenix-Web 15.08.2005 um 11:25:17 Uhr
Goto Top
den hab ich auch schon gesucht ^^
aber nix gefunden face-sad
nbsnoopy
nbsnoopy 15.08.2005 um 20:47:47 Uhr
Goto Top
unter schutz, dann ist da download der virenerkennungsdatei (ide) und da kann amn die datei runterladen .. sie heißt "lebreata.ide"
ist auch ne genaue beschriebung dabei wie man sie installiert!
HLehm
HLehm 15.08.2005 um 21:14:27 Uhr
Goto Top
@ nbsnoopy...Virenkennungsdateien (IDE-Dateien) enthalten Virenkennungen, mit denen Sophos Anti-Virus die neuesten Viren und andere schädliche Software (Malware) erkennen und desinfizieren kann.

Das machen Nod32 und Antivir auch! Aber wie wir wissen reicht es nicht die infizierten EXE´n zu löschen. Und Tenga.a lacht sich eins. Selbst der Stinger ist machtlos...Wer weis wie der eigentliche Virus wirklich heist..
mkh
mkh 16.08.2005 um 01:20:30 Uhr
Goto Top
Ich glaube, ich habe das Problem gefunden und behoben!!!
Auch ich war mit dem W32/Stanit infiziert und es hat mich drei Tage, viel Mühe und jede Menge (.exe ) Dateien gekostet. Nach vielen Reinigungsversuchen mit NOD32, Antivir und AdAwer, hat immer mehr darauf gedeutet, dass der Treiber C:\Windows\System32\Wininet.dll der Träger allen Übels ist, weil er mir selbst im Abgesicherten Modus den Arbeitsspeicher versaut hat. Ich habe mir also von einem anderen Rechner eine ?Wininet.dll? kopiert und trotz Versionsunterschied auf meinem Rechner ersetzt. Und siehe da, nach mittlerweile drei Durchläufen mit allen mir zur Verfügung stehenden Antivirenprogrammen, kann ich keine Fehler mehr finden!!!
Ich bin guter Hoffnung das es auch so bleibt.
Vorgehensweise:
Alle Fehlerquellen die Nod32 aufzeigt und löschbar sind, im abgesicherten Modus löschen.
Die verseuchte ?wininet.dll? umbenennen, ausschneiden und in einen Ordner kopieren (für eine eventuelle spätere Wiederherstellung).
Eine saubere ?wininet.dll? in den Ordner c:\Windows\System32 kopieren.
System neu starten und mit dem Nod32 alle verbliebenen Fehler löschen.
Mit ?AdAwer? alle verbliebenen ?kritischen Objekte? löschen und?
Hoffen, dass es das war.
Übrigens hat sich bei mir ständig von selbst das Programm "PSGuard" installieren wollen und auf meinem Desktop war als Hintergrundbild ständig diese Aufforderung zu sehen. Ich habe davon "die Finger gelassen"!
Ich hoffe euch dienlich gewesen zu sein.
HLehm
HLehm 17.08.2005 um 14:26:54 Uhr
Goto Top
Na wir warten lieber mal noch nen par Tage!!!
Bei mir taucht der im Wochenrhythmus auf.
mkh
mkh 17.08.2005 um 18:54:15 Uhr
Goto Top
Ich muss ganz kleinlaut zugeben, dass deine Skepsis nicht unbegründet war und ist!
Er hat mich ganze zwei Tage und viele Durchläufe mit allen meinen Antivir-Programmen glauben lassen, dass ich die Nation gerettet hätte.
Nun, ich habe heute wieder zwei .exe verloren und es war mir, als hätte mich dieses ?###ding? WIN32/Stanit dabei hämisch ausgelacht!
Ich weiß eigentlich nicht mehr weiter und hoffe das uns schnell geholfen wird!
Warum dauert das solange?
ekerzendorfer
ekerzendorfer 19.08.2005 um 10:48:35 Uhr
Goto Top
Hallo!

Ich kämpfe nun auch schon 2 Wochen mit dem Biest und bin bis jetzt einer Neuinstallation des Systems nur knapp entkommen. Wenn ich hier lese, dass diejenigen, die das gemacht haben, gleich darauf wieder infiziert waren, bin ich froh darüber.
Ich verwende Bitdefender 8 als Hauptvirenschutz, daneben aber auch noch NOD 32 und F-PROT (on demand), sowie ZoneAlarm als Firewall. XP-SP2 und alle sicherheitsrelevanten Patches sind eingespielt.
Ich kann das in den Posts beschriebene weitgehend bestätigen, habe aber einige Besonderheiten herausgefunden:
Die Infektion beginnt grundsätzlich immer in freigegebenen Verzeichnissen (mit Schreibrechten für die Netzwerkbenutzer). Dort findet sich dann plötzlich ein autostart.inf, welche das Schadprogramm (install.exe ca. 50 KB) beim Öffnen des Ordners startet. Und dann nimmt das Unheil seinen Lauf, alle exe - Dateien werden befallen. Das sonst berichtete Schadbild, dass Dateien aus dem Internet nachgeladen werden und sich als Backdoor - Trojaner einnisten, ist bei mir nicht aufgetreten (wahrscheinlich dank Firewall und Virenschutz). Es gibt auch keine Einträge in den Autostart - Bereichen der Registry.
Da ich vom internen Netz getrennt war, vermute ich, dass die install.exe über das Internet hereinkommt. Also entweder doch über eine noch nicht geschlossene Lücke im IE6 oder über Ports, die beim Filesharing (ich verwende zeitweise eMule) zwangsweise offen sind.
Nachdem ich jetzt alle Freigaben deaktiviert habe und alle Verzeichnisse, die noch exe - Dateien enthalten haben (viele sind es nicht mehr, leider!) mit WinRAR gapackt habe, warte ich, ob wieder ein Befallversuch starten wird.
Grundsätzlich wurden bei mir keine Programme auf der Bootplatte bzw. im Windows - Verzeichnis angegriffen. Trotzdem war das System einmal nicht mehr bootfähig und brach vor dem Login mit einer Fehlermeldung betreffend dieDatei lsass.exe ab. Ich kann das aber nicht 100%ig auf Stanit zurückführen. Eine Reparaturinstallation von WinXP hat alles wieder ins Lot gebracht.
Bitdefender meldet zwar jeden Befall und meint auch, etwas verhindert zu haben, trotzdem sind die Exes dann hin und müssen gelöscht werden. Ich habe mich an den Support gewendet und warte noch auf eine Nachricht, ob das Schadprogramm nicht schon beim ersten Auftreten unschädlich gemacht werden könnte.
Bin schon neugierig auf den weiteren Verlauf dieser Sache. Was mich wundert, ist, dass sehr wenig konkrete Information über den Wurm im Internet zu finden ist. Der Thread hier ist einer der umfangreichsten und interessantesten.

Erich Kerzendorfer
Phoenix-Web
Phoenix-Web 19.08.2005 um 11:59:25 Uhr
Goto Top
Das mit dem Befall der für Schreibzugriff freigebenen Ordner kann ich bestätigen, das hat bei mir auch so angefangen.

Zurzeit benutze ich NOD 32 und die Firewall von McAfee und bis jetzt habe ich meine Ruhe. Mag auch daran liegen das ich alle Adminshares deaktiviert habe und keine Freigaben mit schreibzugriff eingerichtet habe.

Bootprobs hatte ich bis jetzt allerdings noch nicht.

Allerdings habe ich teilweise das Problem, dass Files die ich aus dem Netz (FTP, HTTP und Windowsshares) ziehe ne defekte CRC haben. Kann aber auch nen Problem unabhängig vom Stanit sein. Konnte das leider noch nicht weiter Prüfen, da mir grad ein wenig die Zeit fehlt.

Gruß,
Phoenix
HLehm
HLehm 19.08.2005 um 17:55:59 Uhr
Goto Top
Kann ich nicht bestätigen!! Bei mir wurden auch exe´n auf C befallen.
Aber mir ist aufgefallen das immer die zuletzt install. exe´n angegriffen wurden.
HLehm
HLehm 20.08.2005 um 00:11:35 Uhr
Goto Top
Hallo
Mir ist noch was aufgefallen. Er kommt immer im Wochenrhythmus,jetzt schon das dritte mal,kannst die Uhr nach stellen, immer Freitagabend. Und immer die zuletzt install. Programme.
Meiner Meinung nach sagt Hijack alles i.O.
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\Eset\nod32kui.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Desktop Sidebar\dsidebar.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\Download\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nod32kui] "C:\PROGRA~1\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SIDEBAR] "C:\Programme\Desktop Sidebar\dsidebar.exe"
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res:C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res:
C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res:C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res:
C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res:C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res:
C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res:C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res:
C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/w ...
O17 - HKLM\System\CCS\Services\Tcpip\..\{8808A2C4-2183-412F-A9E8-1C635DD7E985}: NameServer = 192.168.2.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\PROGRA~1\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
Compfox
Compfox 25.08.2005 um 10:46:53 Uhr
Goto Top
10 Jahre Virenfrei, und jetzt das...
Die große Frage bleibt: warum sind unsere Rechner so massiv infiziert, und andere nicht ?
Dies scheint wirklich das einzige Forum zu sein, wo dieser Fall ausführlich erörtert wird !?

Meine Geschichte: Antivir Guard und Firewall aktiv. Vor einer Woche meldet mir der Guard den ersten stanit. Gelöscht, 2 Tage passiert nix. Dann : Alle .exe Dateien kurz nach booten zerstört !
Auch auf dem anderen Rechner im Netzwerk, der nicht im Internet hängt ! (Vieleicht infizierte Datei übers Netz geschickt ?). Viel herumprobiert, alle Infizierten gelöscht, WinXP repariert, am nächsten Tag war er wieder da.( Allerdings nicht Freitag...)
C: formatiert, allles wieder zum laufen gebracht, Virenschutz aktualisiert, (schwitz...) 1 Woche ruhe.
Gestern das gleiche:erst stanit in der "System Volume Information !" gemeldet, dann in ein Paar weiteren Systemdateien in "System 32". Sofortiger Virenscan:
588 Dateien infiziert. Kann es sein, das die SysVolInf den Virus quasi schlafend die ganze Zeit beherbergt hat ? Ich werde sie jetzt mal rausschmeißen.(wie oben beschrieben.)
Der 2. Rechner, den ich sofort nach Meldung vom Netz nahm ist offensichtlich frei !?
Mein Vote: Öffentliche Prügelstrafe für Virenprogrammierer ! Aber darüber müssen wir ja nicht diskutieren.
Reinhard
HLehm
HLehm 30.08.2005 um 11:00:56 Uhr
Goto Top
Hatte letzten Freitag ruhe. Habe allerdings auch die Firewall meines Routers aktiv. Scheint also doch von außen zu kommen. Und meine Theorie ist doch sehr wahrscheinlich, das der eigentliche Trojaner nicht erkannt wird.
norbi
norbi 30.08.2005 um 16:11:49 Uhr
Goto Top
Mein Vote: Öffentliche
Prügelstrafe für
Virenprogrammierer

Da ist was dran, ist das nicht Umsetzbar ? face-wink
Herrscher
Herrscher 07.09.2005 um 19:53:22 Uhr
Goto Top
Naja...
Wie krieg ich denn jetzt die infizierten
exedateien von meinem EXT2-Laufwerk vom
Linux System (Debian Woody?)


*lach* Mit 'rm' ?? *g*

Also, das Teil kommt halt über nicht-passwort-geschützte Read-Write-Freigaben über SMB rein.
Auch auf Deinem Samba-Server.
nbsnoopy
nbsnoopy 08.09.2005 um 08:18:28 Uhr
Goto Top
So wie beschrieben hab ich?s gemacht und hatte kurze zeit drauf (ca. 1 Woche) wieder Stanit oben und zwar hat er sich wiedermal in die Restor Datei gesetzt .. hab jetzt die Systemwiederherstellung ausgeschaltet, den Panda onlinescan und den Antivir scan gemacht .. im Moment ist er frei .. hoffe das bleibt so!
Zu Sicherheit habe ich noch Zone Alarm installiert .. mal schauen ob es was bringt!

Dafür ist jetzt unser 2. PC tot .. also haben Antivir scan gemacht und alle Virus verseuchten Dateien gelöscht; dann noch den Sophos und der hat dann gleich noch ein paar mal aufgeschrien - wieder alle gelöscht (hauptsächlich Restore Dateien) womit der Computer jetzt nicht mehr zu starten geht *seufz*
Also heißt's wohl wie bei meinem PC alles neu formatieren ...
aber wenn?s hilft macht man?s ja "gern"

Ich habe übrigens gehört, dass Microsoft sich das Recht herausnimmt, PCs mit Viren zu verseuchen wenn sie feststellen, dass zu viele "nicht Originalprogramme" drauf sind! Das stellen sie glaub ich fest beim runterladen des Servicepacks ..
Ein Arbeitskollege hat schon seine Festplatte beerdigen müssen deswegen und Beschwerde hat nix gebracht, denn sie haben gesagt wir haben das Recht dazu ..
vielleicht kommt unser heiß geliebter Stanit daher????

Ach ja, öffentliche Prügelstrafe für Virenprogrammierer, da bin ich auch dafür!
Compfox
Compfox 19.10.2005 um 08:41:53 Uhr
Goto Top
Genau, es scheint ruhiger geworden zu sein.
Bin jetzt seit Wochen beschwerdefrei (-:
Habe aber meine Virenkontrolle und Firewall auf dem neuesten Stand und verstärkt.
Zudem mache ich jetzt ab und zu Festplatten-Backups, um mir das nervtötende Neuinstallieren aller Software zu ersparen.
Tja, das Netz ist nicht mehr der friedliche Ort, der es früher eimal war...
Viel Glück
Compfox
nbsnoopy
nbsnoopy 19.10.2005 um 09:02:36 Uhr
Goto Top
ja, bei mir ist es derzeit auch ziemlich ruhig ..
bin aber auch echt vorsichtig geworden!

dafür hats den zweiten computer bei uns erwischt! hab ihn gleich ma von netzwerk abgesteckt zur sicherheit!
jetzt beginnt die gleiche prozedur wie bei meinem .. also mit neu aufsetzen usw.
mal schaun ob wir dann ruhe haben!

viel glück auf alle fälle beim virus töten
nbsnoopy
Compfox
Compfox 07.11.2005 um 08:51:19 Uhr
Goto Top
Hallo, da ist er wieder, unser Freund Stanit, der anderswo auch Tenga heißt.
Diesmal auf dem Rechner einer Freundin.
OK, jetzt kennt man ihn ja: Mit Bart-PE Bootdisk alle Virenbefallenen .exe gelöscht und versucht
Windows wieder aufzuspielen (R für Reparaturinstallation gedrückt.) Windows ist wieder da.
ABER nun mein Problem: ich bleibe wieder am Benutzeranmeldungsfenster hängen.
ich soll das Passwort eingeben, (ich habe aber keines installiert) und egal was ich hier mache: wenn ich auf weiter drücke, kommt nach der Anmeldung sofort wieder die Abmeldung und ich sitze fest. (Und das schon auf dem 3. Rechner! Kann also kein Enizelphänomen sein !) Wie komme ich bloß um diese Anmeldung herum ? Bis jetzt hilft nur -Partition Löschen, Neuinstallieren.- Stöhn...
Weiß jemand inzwischen etwas ?
nardy1234
nardy1234 22.11.2005 um 11:56:30 Uhr
Goto Top
hey leutz,

hab den komischen Vogel auch schon seit ein paar monaten. der taucht immer wieder auf. momentan sitz ich an nem PC der gerade seit 14 tagen völlig neu aufgesetzt ist. prompt ist freund stanit wieder da. befällt vornehmlich setup-dateien von neuen programmen.

mir kommt mehr und mehr der verdacht, das hier microschrott die finger im spiel hat. scheinbar sorgen die per update selbst für die verbreitung von dem ding. merkwürigerweise befällt der bei mir grundsätzlich keine gates-software, nur fremdprogramme sind immer wieder betroffen.

die einschätzung der microschrott-leute, sie dürften das, ist mal grundsätzlich falsch. das verbreiten von schad-software ist strafbar, auch wenn man zur gates-truppe gehört.

allerdings sind die figuren so gebaut, das man denen das zutrauen kann. die sind keine freunde von anderen programmierern, was man an der zertifizierungspraxis leicht ablesen kann. der gates-bengel scheint immer noch zu glauben, der pc gehöre ihm. nur irrt er da gewaltig, was man an der zunehmenden zahl von LINUX-Installationen leicht ablesen. ich würde auf den mist von der firma liebend gerne verzichten wenn ich nicht dafär eben auch programmieren müßte.

Auf jeden fall scheint der bursche als Backdoor zu laufen weshalb ne firewall da eben auch helfen kann. stanit benutzt offensichtlich einen standarport und bleibt so weitgehend unentdeckt bis er zuschlägt.
nardy1234
nardy1234 22.11.2005 um 13:05:36 Uhr
Goto Top
Kleiner Tip von mir, vielleicht bringt es was.

http://www.avira.com/en/products/AVIRA_Removal_Tool_for_Windows.html

DasTtool soll den beseitigen können. Hatte erst AntiVir PE laufen lassen und 2 befallene, das Tool hat keine weiteren Funde gemeldet, was bei Stanit nichts besagen will.

Im Speicher wurde nichts erkannt, was darauf hindeutet, das Stanit zyklisch geladen wird. Wahrscheinlich trägt der sich in der Registry ein, sodaß ein regclean-lauf vielleicht was bringt.
nardy1234
nardy1234 25.11.2005 um 20:12:46 Uhr
Goto Top
Freitag den 25.11.05 20:10,

Stanit gleich 6mal, der wird also zeitabhängig aktiviert. Weiß jemand da schon was näheres?
Absti
Absti 02.12.2005 um 14:27:16 Uhr
Goto Top
Hallo erstmal, es kann sein ,das ich eine Idee habe, wo dieser Virus überlebt.
Ich habe nur keine ahnung wie ich das überprüfen kann. vielleicht hat ja jemand von euch ne Ahnung.
1 Möglichkeit: Wäre es nicht möglich das sich dieser Virus im Arbeitsspeicher überlebt?? Das würde erklären, warum es anscheinend nichts bríngt die Festplatte zu formatieren.
2 Möglichkeit wäre,das sich dieser Virus Im Bios festsetzt, was aber verdammt schwer zu machen wäre, ich weiß nicht ob das überhaupt möglich ist.
Es wäre nett wenn ihr mal eure Meinung zu den Ideen geben könntet.

PS:Dieser Virus geht mir auf den Sack.
nardy1234
nardy1234 02.12.2005 um 16:34:35 Uhr
Goto Top
hi,

wohl eher nicht. Wäre der im Speicher resident, ist er nach dem Ausschalten des Rechners definitiv weg, besonders dann wenn man die Platte formatiert hat. Ins Bios zu schreiben setzt ein entsprechendes Tool vorraus, das ist ebenfalls recht unwahrscheinlich.

Wahrscheinlicher ist es hingegen, das der Urloader als Eintrag in die Registry geschrieben wird und von dort aus zyklisch das Vorhandensein des Quellcodes prüft und, sollte dieser weg sein, sich den Urloader wieder aus dem Internet herunterlädt.

Ebenso zyklisch scheint der Aufruf des Virus zu passieren, sodass immer die zuletzt gespeicherten *.exe Dateien befallen werden.

Wichtig wäre heraus zu bekommen, auf welche Weise und von welcher Website der Urloader stammt und wie der sich auf der Platte und in der Registry manifestiert. Der Verdacht ist nicht gänzlich von der Hand zu weisen, das die Updates von Microsoft für die Installation des Urloaders verantwortlich sind.
droeti
droeti 06.12.2005 um 02:55:05 Uhr
Goto Top
So,
erstmal danke für dieses tolle forum ;)
habe mich jetzt durch die etlichen beiträge zu stanit gekämpft, und eingesehen, dass ich um ne neu-installation nicht herum komme.
wollte meine geschichte dazu kurz erzählen, vielleicht fällt noch jemand auf, wo er nu wirklich herkommt, bzw was es noch für schwachstellen geben könnte.
hab auf meinem rechner fw laufen (ZoneLabs) aber keinen AV.
war gestern bei nem neuen kunden, bestandsaufnahme machen, der rechner schien mir sehr langsam und träge, also virencheck etc.
(auch aufgefallen ist mir, dass beim start vom iexplorer das DOS-Fenster mit dl.exe startet, verschwindet dann aber sofort wieder, und ist zumindest im taskmanager nicht zu finden).
gefunden hat er stanit, einige zig mal.
betroffene dateien hab ich dann gelöscht, erneuter virenscann ergab, dass alles frei ist.
habe dann, ohne mir gedanken zu machen, meine externe usb-platte angeschlossen, und ihm den remote-admin installiert (direkt von der externen).
war soweit alles gut, hatte keine viren mehr gefunden, ich glücklich heimgefahren.
heute abend das gleiche tool (radmin) in ein archiv gepackt, und meiner schwester geschickt (email).
die hat nur gemeint, der bringt nen fehler.
hab dann nachgeschaut, bei mir auch fehler, bekannte dl.exe hat sich gestartet, remoteadmin mit nem fehler beendet, aber im taskmanager aktiv geblieben.
jetzt AV PE installiert, und 1345 *.exe verloren.
zum glück läuft der mozilla und die fw noch, auch trillian hat er in frieden gelassen.
was ich nun bemerke, sind immer wieder auftretende internetausfälle, trillian macht einen disconnect nach dem andern, verbindet dann aber wieder, und ist auch online (gespräche möglich).
meine internetverbindung besteht zur zeit aus wlan an der uni, welches über den cisco-vpn-client abgesichert ist. es besteht eine permanente wlan-verbindung, auch der cisco bleibt connectet (gibt dort keinen reconnect, wenn der rausfliegen würde, würde er draußen bleiben).
nun habe ich auf meiner externen in einem verzeichniss die dl.exe entdeckt, welche sich nicht löschen lässt.
antivir meldet, sie sei "sauber".
werde nun datenrettung betreiben, alle *.exe weglassen, die ich finde, und ne neuinstallation starten...

hoffe ich konnte weiterhelfen, wenn jemand noch ne lösung hat (zb auch, warum man seit 3 monaten nix mehr davon hört, und jetzt auf einmal wieder mehr....) bin ich froh...

virencoder ghörn geschlagen, ich könnt grad nurnoch k***en....
Zumfra
Zumfra 26.12.2005 um 11:38:15 Uhr
Goto Top
Seit ein Paar Tage hat es mic auch erwischt.
Problem mit vcleaner war dass ich es runterladen musste bei meinem Nachbach und dass meinem Rechner die Diskette nicht einlesen wollte..

Dann habe ich von einem Freund (ein sehr guter Freund) eine Knoppicilin CD bekommen.

Die ist regelmässig in der C't zu bekommen. Es ist eine auf Linux basis bootbare reparatur CD.

Dadrauf sind immer 2 oder 3 neuste Antivirus probe-voll-versionnen.

Auf der letzte sind Kasperski und sophos.

Vorteil ist dass sie laufen ohne Windows zu starten und können dann in die Systemdateien eindringen.

Natürlich hat Kasperski allerlei gelöscht aber wer sein Rechner infiziert hatte weiß wie die Reports aussehen.. Unzählige Seiten; eine Endlose Liste von infizierte dateien und programme.

Da der Virus vorallem Exe dateien befallen hatte war es mit nicht so wichtig es zu riskieren. Meine wichtigste Sachen sind doch Dokumente.

Anschliessend, beim nächsten Start liess ich XP sich selbst reparieren. Wie?
Hop CD rein und Booten. Bei der erste aufforderung zur Reparatur geht man auf neuinstallation.
Nur bei der Zweite sagt man doch reparieren.
Eigentlich wird alles neu installiert aber die Einstellungen bleiben.
So jetzt wird's prickelnd. Hoch fahren. Nichts anfassen damit wenn irgendwo der böser Virus sich versteckt nicht wieder zugreift und zuerst aus eine CD (nicht von der Festplatte weil sie auch schon infiziert sind) einen neuen Antivirus programm installieren (bei mir AntivirXP - Freeware für Privatleute) und sofort überwahrung aktivieren.
Gibt es zu, das "Ding" hat uns fertig gemacht weil wir aus Geschwindigkeitsgründe die Überwahrung abgeschaltet hatten.
Nicht mehr mit mir.

Auf jeden Fall anschliessend startet man alle Anwendungen und installiert neu die die nicht mehr richtig funktionnieren.

3 Tage leiden aber jetzt ist Ruhe..

Frohe Weihnachten allerseits!!
Heiko88
Heiko88 26.12.2005 um 19:55:20 Uhr
Goto Top
Habe Vcleaner

http://www.grisoft.cz/softw/70/filedir/util/avg_rem_sup.dir/vcleaner.ex ...

über meine infizierte Partition laufen lassen ,das Tool hat alle Viren aus den exe Dateien rausrepariert danach nochmal Antivir weg war Stanit
Mal sehen wie lange.
Zum Glück befällt Stanit nur eine Partition dort wohl eben de Downloads drauf gehen also bleibt Windows davon verschont.
Zumindest bei mir
bru-to-the-no
bru-to-the-no 27.12.2005 um 16:43:37 Uhr
Goto Top
Danke für den Tip mit dem "vcleaner", der löscht auch den Virus aus den .exe files, doch leider sind dadurch alle meine 1500 files unbrauchbar geworden, weil es den header gelöscht hat face-sad
-> habe über 1 Jahr allemöglichen Progz gesammelt & archiviert -> jetzt kann ich das nochmal machen -> toll -> sch... Stanit!!!

Außerdem ist der Virus nicht komplett weg, jedesmal wenn ich .exe files auf meine HD ziehe werden die verseucht!

Gibt's echt kein Prog was den Stanit komplett entfernen kann?!?

Über welche Ports kommt der rein?
Hat Microsoft was damit zu tun?

Würd mich über eine Wiederbelebung des treads freuen face-smile

Peace
Balthasar
Balthasar 30.12.2005 um 01:41:35 Uhr
Goto Top
Hmm, na ganz toll, hab nen halbes Jahr lang nix mehr von dem Ding gesehen und nu musste ich mit erstaunen feststellen das er sich schon wieder bei mir festgefressen hat. Ich hab alle Virenscans durchgeführt die die anderen erwähnt ham und nu isser erstmal weg, mal sehen wie lang des so bleibt. Ich denk mal bei mir kams auch davon, daß ich die Firewall auch mal ausnahmsweise ausgeschaltet hab.
nardy1234
nardy1234 30.12.2005 um 13:27:27 Uhr
Goto Top
Nun hab ich die Firewall vom Router laufen und bin ohne Belästigung. Irgendwann werd ich mal versuchen rauszukriegen über welchen Port das gute Stück sich installiert. Vielleicht hilft das ja dann weiter und man kann eventuell die Web-Adresse rauskriegen, von dem das Ding stammt. Routing-Software hab ich.
Balthasar
Balthasar 04.01.2006 um 22:18:00 Uhr
Goto Top
So, hab ich also seit letzten Freitag nun doch nochmal, aus Angst vor dem Mistding, mit allen Virenscannern durchleuchten lassen, und ich muss sagen, ich glaub der iss nu Weg. Ha Abgeschossen ^^. Aber irgendwie iss des doch dumm, das das I-Net nimmer so sicher iss wie früher.
Zumfra
Zumfra 05.01.2006 um 10:38:05 Uhr
Goto Top
Ich denke, eine sehr wichtige Sache zu machen auf seinen Rechner ist in msconfig systemstart (start/ausführen/msconfig..) alle nicht unbedingt nötige programm start zu deaktivieren; ausser der antivirus programm, ist normalerweise keiner wirklich nötig und der Rechner wird wesentlich schneller hochfahren.
Ausserdem, wenn trojaner und Dialer sich auf dem Rechner verstecken, sind sie meistens da zu deaktivieren bevor man sie löschen kann.

Vorsicht 1: genau notieren welche Kästchen man deaktiviert damit man sie wieder aktivieren kann falls probleme auftauchen.

Vorsicht 2: Wer ins Internet über einen Eumex extern modem darf die capi und routcfn nicht deaktivieren sonst keine internet und das wieder installieren ziemlich mühesam..
Biber
Biber 07.01.2006 um 22:08:57 Uhr
Goto Top
Moin salib,

ich halte zwar AntiVir nicht gerade für das tollste AV-Tool, aber trotzdem - da möchte ich etwas richtig stellen, ehe hier neue urban legends entstehen.
Deine Aussage:
dort im forum steht drin das erst durch den scann mit antiovir der virus aktiv wird!!!!
Ist fast richtig...
...dort hat ein User im Forum gefragt, er hätte das Gerücht von einem Kumpel gehört, dass... usw.

Ein Mod und ein Stammuser haben ihn (vielleicht etwas ungeschickt) versucht zu beruhigen.

IMHO ist die zweite Erklärung für das vermeintliche Aktiviereren des Stanit näher an der Wahrheit als die erste Antwort: AntiVir "verschluckt" sich einfach, nachdem es das erstemal diesen Virus erkannt hat und meldet danach JEDE gottverdammte *.EXE-Datei als infiziert (wahrscheinlich sogar, wenn diese 0-Byte groß sind). Das haben auch schon andere AV-Tools bei anderen Viren gemacht.
Und das deckt sich mit den Aussagen oben, dass wenn Stanit (einmal) gefunden wird, plötzlich "alle" oder "tausende" EXE-Dateien als infiziert gemeldet werden.
Insofern ist AntiVir vielleicht buggy, und wahrscheinlich sind jetzt grad zwei User vom Balkon gesprungen, weil sie Tausende von EXE-Files plattgemacht haben für Fehl-Alarme... (tut mir Leid)..

Aber: IMHO ist die "AntiVir aktiviert schlafenden Virus"-Theorie <s>Bullshit</s> unrichtig.

Grüße (und ich bin genauso an einer Stanit-Entfernung interessiert wie alle hier!)
Biber
Biber
Biber 07.01.2006 um 23:02:32 Uhr
Goto Top
Hallo, salib,

mag sein, dass ich nur Unsinn schrieb, aber wenn ich mir die Kommentare ansehe von Usern, die Antivir benutzt haben:
Zitat nbsnoopy:
ich konnte es (Antivir) aber dann doch starten [...] 1400 exe dateien waren betroffen

Zitat Compfox:
Gelöscht, 2 Tage passiert nix. Dann : Alle .exe Dateien kurz nach booten zerstört !
..
Sofortiger Virenscan: 588 Dateien infiziert....

Zitat Herrscher:
Und siehe da: Quasi jede EXE in der Freigabe hat diesen Virus! (3.284 Dateien bis jetzt -

... dann drängt sich mir schon der Verdacht auf, dass ganz ganz eventuell AntiVir ein paar mehr Viren meldet als da sind.

Nichtsdestotrotz bin auch ich an einer Lösungsfindung interessiert, nicht daran "Recht zu haben" oder gar
um tatsachen zu verdrehen und irreführende theorien zu verbreiten!

Ich habe die Beiträge im AntiVir-Forum gelesen (http://forum.antivir-pe.de/thread.php?threadid=203&hilight=stanit) und dort nicht gelesen, dass dort die AntiVir-aktiviert-Stanit-These bestätigt wird.

Welche Empfehlung gab Dir denn der AntiVir-Mitarbeiter am Telefon? AntiVir nicht zu benutzen?

Grüße Biber
ampuwa
ampuwa 08.01.2006 um 00:04:12 Uhr
Goto Top
Guten Tag, alle miteinander,

also für Nachwuchs ist gesorgt face-sad

"Herr Stanit" tauchte bei mir im Sommer 05 - in einer, mit WinRar, gepackten Datei auf. Erhalten via Bittorrent von einer im Grunde zuverlässigen Quelle. Aber was ist im Internet schon zuverlässig - wie ich jetzt erkennen muss. Nachdem AntiVir brav seinen Dienst versehen hat, hab ich den kompletten entpackten Ordner ins Nirvana geschickt um mein Notebook vor Schlimmerem zu bewahren, und das mit Erfolg. Die gepackte Datei hatte ich noch behalten, weil ich a) über den Lümmel was erfahren wollte und zu der Zeit im Netz schlichtweg nichts zu finden war, ich b) meinem AV-Programm voll vertraut habe und ich c) auf eine Möglichkeit hoffte, die infizierte Datei irgendwann mal reparieren zu können.

Fakt 1: Mein Notebook ist immernoch sauber !!
Vermutlich, weil ich die gepackte Datei auf eine externe Festplatte verschoben habe? ABER:
die ext. FP wird regelmäßig mal am Notebook, mal am Rechner zuhause angeschlossen und betrieben und nix ist passiert.

Fakt 2: Ich habe die gepackte Datei seit dem Verschieben auf die ext. FP mit dem A nicht mehr angeguckt.

und gestern nahm das Unglück seinen Lauf. Ich hatte irgendwie das Gefühl, dass mit meinem Desktop-Rechner was nicht stimmt. Ich wollte in die Routereinstellungen (warum weiss ich beim besten Willen nicht) und da schrillten bei mir alle Alarmglocken. Router ausschalten und Rechner runterfahren waren ein Reflex. Und mir fiel ein, dass dieser blaue Regenschirm ja garnicht in der Taskleiste gewesen ist... warum eigentlich nicht?

Beim Neustart des Rechners kam dann, was ihr ja alle hinreichend kennt! Allerdings hat AntiVir nur 4 Warnungen rausgegeben und den Rest der 1539 Dateien eigenmächtig in Quarantäne geschickt.

Das war Vorgeschichte und jetzt kommt mein Beitrag, der mit Sicherheit keine Lösung bietet aber vielleicht - so hoffe ich - einige neue Aspekte und Ansätze die möglicherweise zur Lösungsfindung beitragen könnten.

1. Mein Notebook ist seit mind. einem halben Jahr, trotz Präsenz dieses Sausacks, clean.
2. Der Desktoprechner wurde, obwohl er nie die entpackte infizierte Datei gesehen hat, verseucht.

und jetzt kommen ein paar Punkte, die sich von einigen anderen Autoren hier unterscheiden:

3. Bei mir wurde eigentlich NICHTS verschont. Damit meine ich, es wurden exe-Dateien auf allen Partitionen auf allen Festplatten infiziert, egal ob freigegeben oder nicht. Dazu com's, ini's und dll's. Ausser dass Windows noch startet und ein paar elementare Progresse auch funktioniert eigentlich so gut wie nichts mehr.

4. was eigenartiger Weise nicht betroffen ist und funktioniert, ist der WindowsCommander - ihr wisst, dieser Clone des NortenCommanders aus Dos-Zeiten. Und das wundert mich schon.
aber immerhin erleichtert das die Datensicherung.

So, und nun werd ich wohl die nächsten 5 Tage damit beschäftigt sein, meine Kiste und alle internen und externen Festplatten zu restaurieren, heul.
Vielleicht ist das ja die Strafe dafür, dass ich meinen Linux-one-disk-router gegen einen WLAN-Router eingetauscht habe.

Zuversichtliche Grüsse,

Heinz
Zumfra
Zumfra 08.01.2006 um 10:42:59 Uhr
Goto Top
Punkt 1. Wenn es eine exe ist ist sie nicht so wichtig. Einfach löschen und vom CD neu installieren.

Punkt 2. Wieso haben wir hier einen so tollen Forum wenn keiner hört was die anderen sagen?

Also nochmal: den Antivirus program den ihr benutzt must ihr von eine Bootbare CD unter Dos laufen lassen. Nur so ist das Biest komplett entfernt.
Und Antivirus (das Programm) hat dann nichts mehr zu melden..

Schönes Wochenende
nardy1234
nardy1234 08.01.2006 um 11:51:19 Uhr
Goto Top
hey leutz,

nach den letzten postings ergibt sich damit folgendes Bild. Antivir erkennt einen Virus der offnbar von ihm selbst eingeschleppt worden ist oder durch einen Programmfehler fälschlich gemeldet wird.

Das deckt sich auch mit den erfahrungen, das manche auch infektionen in anderen als den .exe haben. Logisch, das wenn AV auf das scannen aller Dateien konfiguriert ist, er eben auch da den Infekt erkennen will.

Ich hab mein System derzeit mit der Router-Firewall gut im Griff, keine Infektion mehr. Lediglich wenn die DMZ gesetzt wird, kommt es zu neuen Infektionen. Auch das deutet dann AV hin. Für diese kurzen Zeiträume gehe ich nicht ins inet und trotzdem werden Infekte gemeldet.

Naheliegend, das AV durch Testen auf Updates diese Infekte selber verursacht.

Bleibt zu hoffen, das die AV-Leutchen diesen Schwachsinn demnächst beseitigen, sonst kann man das Tool, mit dem ich ansonsten ganz zufrieden bin, wohl für die Zukunft in der Pfeife rauchen.

schönes Wochenende
Biber
Biber 08.01.2006 um 13:01:55 Uhr
Goto Top
Moin alle,

@nardy1234
@ampuwa
@gas01ine
In diesem Zusammenhang eine hoffentlich lösungsvorantreibende Rückfrage:
Wie sehen denn diese als infiziert gemeldeten Ini-Dateien aus?? In Ini-Dateien müsste man/frau doch nun wirklich erkennen können, ob AntiVir da zu Recht einen Virus meldet oder ob das ein Fehlalarm ist.

@salib
Ich fände das toll, wenn Du Deinen Telefonkontakt mal hier in diesen Thread einlädst.

Grüße
Biber
Biber
Biber 09.01.2006 um 05:27:56 Uhr
Goto Top
@gas01ine
Hab mich ehrlich gesagt nicht getraut die INI's anzuschauen
Schade... dann hätten wir wenigstens gewusst, ob AntiVir vielleicht doch zu Fehlalarmen neigt..

bez Urban Legends (Virus kommt von Microsoft, virus kommt von AV)
Alles, alles auf dieser Welt wäre ein Geheimnis geblieben so wie die Erfindung von rostfreien Auspuffanlagen oder alkoholfreiem Krimsekt, aber niemals, wenn M$ diese Peinlichkeit passiert wäre. Dafür wären im TV auch Sissi oder Günther Jauch durch Eilmeldungen unterbrochen worden.
Zu AntiVir: ich hatte salib ja gebeten seinen Freund Harvey von der Telefon-Hotline mal ranzukarren.
Habe auch selbst schon Kontakt dahin aufgenommen. Info folgt, sobald vorliegend.
Bisher nur die Aussage aus deren Forum (mit meinen Worten bzw. wie ich es lese): Wird AV auf Plattformen eingesetzt, für die es NICHT freigegeben oder gedacht ist, zum Beispiel die Free-Version in einer Netzumgebung, dann sind die Suchergebnisse NICHT zuverlässig.
Link zum AntiVir-Forum steht oben - vielleicht kann man/frau es anders lesen.

Grüße Biber
Zumfra
Zumfra 09.01.2006 um 15:11:41 Uhr
Goto Top
Ich habe es komplett weg.
Lies einfach meine voherige Beiträge.
Wenn du die Schritte genau verfolgst ist das Biest auch für dich im Nu nur noch Erinerung.

Viel Spass

Eric
Phoenix-Web
Phoenix-Web 09.01.2006 um 15:47:40 Uhr
Goto Top
dito... hab seit Aug 05 Ruhe...

Ich denke mal wenn man alle Schritte hier im Forum gemacht hat sollte wirklich keiner mehr das Teil auf dem Rechner haben....
mkh
mkh 09.01.2006 um 16:45:24 Uhr
Goto Top
Hab heute seit langer Zeit wieder mal bei euch vorbeigeschaut. Das Luder ist also noch immer aktuell? Ich frage mich wirklich, warum sich kein Antivir-Programm diesem Biest widmet.
Ich bin es jedenfalls seit August 2005 los!!! (Lest meinen Beitrag vom 16.09.05.)
Aber ich bin vorsichtig geworden mit Bewertungen! Das Erscheinungsbild ist so vielseitig, das man meint, es mit einer Armee von verschiedenen Viren zu tun zu haben.
ICH MEINE, DER BESTE SCHUTZ IST ALLE LAUFWERKE ZU SPERREN!
Viel Glück euch allen.
mkh
mkh 09.01.2006 um 16:47:36 Uhr
Goto Top
Entschuldigt!!! Es war der 16.08.2005.
Biber
Biber 16.01.2006 um 08:09:36 Uhr
Goto Top
So, jetzt hab ich anderen lange genug Zeit gelassen, ihre Telefon-Harveys ranzuholen.
Nun möchte ich mal meine "unverantwortlichen Theorien" von neulich untermauern.
Ich habe, wie oben geschrieben, Kontakt mit dem AntiVir-Forum aufgenommen und letzte und vorletzte Woche regen Mailverkehr mit einem dem Moderatoren, Sebastian L. gehabt.

Aus diesen Mails möchte ich einige autorisierte Zitate bringen (Danke Sebastian!).

Die fetten Formatierungen sind von mir und nicht in der Originalmail vorhanden.
[Beginn der Zitate Sebastian L. (Mod im Forum von AntiVir)]
"Bis jetzt gibt es allerdings keinerlei Hinweise in
der Fachliteratur, daß ein inaktiver Stanit durch den Scan mit AntiVir oder
generell durch den Scan mit einem Anti Viren Programm aktiviert würde.
[....] Stanit kann, wie jede andere Malware auch, unbemerkt aktiv werden,
wenn man mit AntiVir Classic im Netzwerk arbeitet, wird aber nicht durch den
Scan mit AntiVir aktiviert
. Bis zu diesem Punkt liegt es also am Nutzer
selber, ob er AntiVir Classic bestimmungsgemäß einsetzt oder mit dem Risiko
leben möchte."

"[..]...bin ich also sehr sicher, daß dieses Mißverständnis mit dem
Infektionstrigger entstanden ist, weil sich W32/Stanit.A eben hauptsächlich
über das Netzwerk verbreitet und die AntiVir PersonalEdition Classic
Netzwerklaufwerke nicht schützt
beziehungsweise lokale Netzwerkfreigaben
nicht zuverlässig schützt. Hat man sich allerdings den W32/Stanit.A irgendwo
heruntergeladen oder über Datenträger eingeschleppt und ist dieser noch
inaktiv, wird ein Fullscan mit AntiVir Classic diesen nicht aktivieren. [...]"

"[...]zu den *.ini Files habe ich keinen Hinweis gefunden. Alle mir zur Verfügung
stehenden Beschreibungen sprechen ausdrücklich davon, daß W32/Stanit.A das
Netzwerk nach nicht schreibgeschützten Netzwerkfreigaben durchsucht und die
dort befindlichen *.exe Dateien infiziert. Wird so eine auf dem Laufwerk
ausgeführt, sucht der Virus den lokalen Rechner komplett nach allen *.exe
Dateien ab und infiziert diese auch. Ebenfalls sucht das nun befallene
System selber wieder nach Netzwerkrechnern. Wird also eine *.ini Datei
tatsächlich als infiziert gemeldet, kann es sich möglicherweise um einen
Fehlalarm
handeln. Den kann man beispielsweise gefahrlos bei einem online
Dateiscanner gegentesten, wenn man sich nicht mit dem Hex Editor und
gegebenenfalls einem Unpacker heranwagen möchte. Meine Empfehlung:
http://virusscan.jotti.org/ oder
http://www.virustotal.com/flash/index_en.html. Bestehen dann noch Zweifel,
kann man auch eine Sandbox Analyse machen:
http://sandbox.norman.no/live.html.[..]"
[Ende der Zitate Sebastian L. (Mod im Forum von AntiVir)]

Ich hoffe, damit zu dem Thema "Stanit/Wie verbreitet der sich?" etwas Licht ins Dunkel gebracht zu haben.
Zur Entfernung sind ja schon genug kompetente Antworten geposten worden.
Grüße Biber
Mr3k
Mr3k 16.01.2006 um 12:25:09 Uhr
Goto Top
Moinsen zusamn.

habe den Virus ebenfalls seit 05.11.05 und sämtliche vorgänge ihn zu vernichten schlugen fehl....
-Comp/progdaten: Zone alarm - Anti Vir - firewall im router(netgear)....das ding is dann quasi von heut auf morgen aufgetaucht und hat sich täglich per antivir gemeldet.....formatieren und neu aufsetzen (ob origin.XP oder nicht...half nix...).....habe dann per google euer Forum entdeckt und erstma alle beiträge durchforstet und blieb bei "mkh's" beitrag kleben (da dies das einzigste wahr-das ich nonich prob. hatte)....also los...

-11.11.05
zog mir NOD32 runner und wartete ab was geschah (antivir deinstalliert,Zonealarm ebenfalls)
-1x gescannt - Stanit beseitigt(W32/stanit wurde auch als solcher erkannt und nicht unter anderem namen)
-2x gescannt - keinerlei fund

-12.11.05
-1x gescannt - nix
-2x gescannt - dann 2 funde: "W32/Adware.SaveNow Anwendung" - konnte beide reparieren....
danach nochma 2x gescanned und nix gefunden....

selber tag: laut beschreibung von "mkh" - Datei Wininet.dll vom XP home Rechner meines bruders(der keinerlei meldungen bis nu hatte, obwohl er immernoch Antivir benutzt)
auf meinen rechner(XP prof.) per rohling (für eine datei..pfff) ersetzt und system neu gestartet....

Fazit : nach neustart system abgesucht per nod32 und nix gefunden....bis heute

PS.: mkh sagt er habe es im Abgesichtem Modus gemacht , was natürlich nicht verkehrt ist, ich allerdings hab darauf geschissen.... haben heut den 16.01.05 und ich hoffe mal das Sanit-the-bitch nimmer wieder kommt....

greeetz@all...M!r3k bei Questions/unklarheiten...fragen
Xstyle
Xstyle 18.01.2006 um 01:24:10 Uhr
Goto Top
Vielleicht hilft dieses Removal Tool von AntiVir weiter!?!

AntiVir Removal Tool 2.0 (c) 2005 H+BEDV Datentechnik GmbH
Removal Tool for Sober.J/P, W32/Stanit.A
Version: Oct 14 2005 16:45:12


http://www.antivir.de/fileadmin/user_files/downloads/repairtool.zip

Ich hatte ihn auch ma vor paar Monaten, letztes Jahr im August oder so. Konnte seine Verbreitung damals nicht verhindern. Bei mir kam das auch immer mit der dl.exe
Ich habe auch alle dl.exe dateien im abgesicherten Modus löschen können, aber jedesmal wenn man eine infizierte exe datei ausgeführt hat (nur zum test was passiert) hat sich diese dl.exe Datei neu generiert und jetzt hab ich ihn wieder. Komischerweise kam der bei nem kumpel vor und ich dussel schreib ihn über ICQ an um ihn meinen Beileid auszudrücken. Und was ist, halbe stunde später klicke ich auf einen Ordner auffm Desktop um ein Freeware Tool zu installieren und was sehe ich da, mein AntiVir springt auf und meldet den shice W32 Stanit.
Naja ich sofort in Aufregung auf "überschreiben und löschen geklickt ! Und ganz panisch erstma alle exe dateien gecheckt. Zum glück waren nur die exe dateien befallen die in Ordnern auffm Desktop waren. Keine Ahnung wieso. Und ich habe mir alle exe Dateien auf meiner ganzen Platte auflisten lassen und habe sie dann nach Änderungsdatum sortiert. Siehe da, kein Datum von heute (also an dem Tag). Die waren alle älter!

Ich glaube auch dass das alles auch mit dem Netzwerk zu tun hat. Jedenfalls die Verbreitung! Ich habe eine Direktverbindung zu meinem 2. Rechner und habe natürlich auch paar freigegeben Ordner. Doch nicht alle schreibgeschützt (leider, muss halt so sein). Den Desktop hatte ich auch so eingerichtet! Jetzt habe ich alle schreibgeschützt! Bis ich weiß ob dieser shice Virus weg is!

Ratet mal was u.a. auch passiert, was hier in diesem Forum noch garnicht erwähnt wurde oder ich habs übersehen ;)

dieser shice Virus/Worm/Malware oder was auch immer loggt sich in mehrere andere ips ein oder versendet sich weiter oder ich weiß auch nicht genau, jedenfalls pingt er komische ips oder seiten an, bestimmt willkührlich!

Das könnt ihr ganz easy unter cmd (msdos eingabeaufforderun) mit dem befehl netstat auflisten. Und da hatte ich bei mir ganz genau sehen können wie oft das ding andere Sites anpingt. Kann man kaum aufhalten. Nur wenn man der Firewall sagt, der soll kein Traffic erlauben usw..

Nur ma so am Rande: ich benutze die Kerio Firewall, ich finde die is wirklich die beste. habe mittlerweile alle großen und kleinen Firewalls ausprobiert und kann mit Abstand behaupten dass Kerio die Nr.1 ist! Aber irgendwie machtlos gegen diesen kleinen shicer von Stanit! Weil der sich wahrscheinlich auf nidriger Priorität bewegt dieser kleiner kacker Virus!

Ich habe gerade mein Ergebnis bekommen vom Removal Tool:

Scanning memory... done

No malware found in memory

Scanning drive C: ...

No malware found on hard drives

scan results:

scanned directories: 10014
scanned files: 123016
scanned streams: 47
scanned processes: 35
scanned modules: 357

infected files: 0
infected processes: 0

repaired/removed files: 0
terminated processes: 0

elapsed time for memory scan: 7.03 seconds
average memory scanner throughput: 17328.69 KB/s

elapsed time for file scan: 1955.17 seconds
average file scanner throughput: 477.99 KB/s

Thank you for using AntiVir Removal Tool.


Naja ma sehen ob das ding nochmal kommt.
Compfox
Compfox 18.01.2006 um 09:38:47 Uhr
Goto Top
Hallo mal wieder.
Ich bin jetzt zwar seit einigen Monaten virenfrei, (dank Firewall, Router, Antivir und Spybot)
verfolge diesen thread aber dennoch aufmerksam weiter....
Ich kann Xstyle nur zustimmen: Es gehört sogar zu stanits hervorstechendsten Eigenschaften, wahllos IP`s anzuwählen, um sich ungefragt einzunisten, und wie ich mehrmals festgestellt habe, in der Systemwiederherstellung zu überleben.
Im übrigen müßte man mal alle auf dieser Seite gesammelten Fakten in eine vernunftige Zusammenfassung bringen. Man blickt ja garnicht mehr durch, was Fakt, Annahme oder Unsinn ist ! Mal sehen ob ich die Zeit finde.
Ansonsten ein Virenfreies Jahr wünscht:
Compfox
Xstyle
Xstyle 18.01.2006 um 18:10:46 Uhr
Goto Top
Im übrigen müßte man mal
alle auf dieser Seite gesammelten Fakten in
eine vernunftige Zusammenfassung bringen.
Man blickt ja garnicht mehr durch, was Fakt,
Annahme oder Unsinn ist ! Mal sehen ob ich
die Zeit finde.

Das ist gut, stimm dir voll und ganz zu ;)
Ich glaube aber, dafür bräuchte man extra hier paar Leute. Der eine sucht alle Fakten raus, der andere alle Annahmen, der andere Unsinn und alle entscheiden was wo zugeordnet wird.

P.S.
Meine Systemwiederherstellung ist seit langem aus! Und trotzdem war Stanit wieder da, aber keine Ahnung ob er jetzt noch überlebt hat oder nicht :P

Habe noch zusätzlich einen kleinen Test ins Leben gerufen, und zwar folgender:
ich habe mir eine kleine exe Datei rausgepickt (166 kb) und die vervielfältigt, insgesamt 4 stück.

1x als Original
1x schreibgeschützt
1x versteckt
1x schreibgeschützt und versteckt

Und das ganze in einem Ordner auf den Desktop verschoben. Mal sehen was passieren wird. 1 Tag vorbei und bisher noch nichts zu sehen von ihm! Ich halte euch auf dem laufenden ;)
MfG
Xstyle
Xstyle
Xstyle 18.01.2006 um 20:53:32 Uhr
Goto Top
ne also dieses Removaltool hilft nicht wirklich weiter!!!

Ich hab grad entdeckt, dass er 2 meiner tesfiles verseucht hat:

Veränderungsdatum ist der 18.01.06 Uhrzeit: 15:19 Uhr

Zu meinem Test:
die versteckte und normale exe Datei (originale) sind infiziert, doch die schreibgeschützte und schreibgeschützt-versteckte datei sind nach wie vor okay ;)

Gruß
Biber
Biber 18.01.2006 um 21:00:03 Uhr
Goto Top
@Xstyle
Nachfrage: Ist Dein Desktop-Unterordner gleichzeitig eine Netzwerkfreigabe?

Wenn ja: siehe mein letztes AntiVir-Zitat oben (auf Freigaben keine zuverlässige AV-Mimik).
Wenn nein: haben wir ein Problem mehr.

Gruß Biber
Xstyle
Xstyle 20.01.2006 um 16:25:15 Uhr
Goto Top
Hi Biber,

ja das war es. Hatte nochmal nachgeschaut, sogar mit Schreibrechten! face-sad
Hab jetzt die freigabe rausgenommen, würde gern aber wieder eine Freigabe einrichten, weiß jetzt aber nicht ob der Virus oder was auch imer wieder kommt?!!! Ich glaube nämlich, dass er nur dann auftritt wenn Schreibrechte aktiviert sind beim freigegebenem Ordner. Wie es auch in deinem obigen Beitrag steht. Nur tritt das auch ein, wenn der freigegebene Ordner schreibgeschützt ist? also ohne schreibrechte! ???? Das würde mich mal interessieren.

Ich würde mal schätzen dass er dann keine Chance hat, weil er meine schreibgeschützten testdateien die aber in einem mit schreibrechten versehenden Freigabe Ordner verschont hat ;)

Aber mal was anderes, ist ja armselig dass AntiVir Personal Classic Edition eine Netzwerküberwachung nicht unterstützt und zu dem noch so etwas wie W32 Stanit evtl. ins Leben ruft. Da wäre man ohne AntiVirenschutz wahrscheinlich besser dran ;)

Aber ich denke auch, dass das ganze auch mit Microsoft's Update's zu tun haben könnte. Weil kurz bevor sich der Stanit bei mir zum erneuten mal (vor einigen Tagen) - (das erste mal im August'05) gemeldet hat, hatte ich neue Windows-Updates machen lassen.

Naja alles ist komisch! Würde mich mal interessieren, ob die AntiVir Premium Edition auch die gleichen Merkmale aufweist und das Netzwerk nicht schützt?!!? Weil falls so ein Schutz bei der Premium existieren sollte, dann kaufe ich mir diese Version dann. Andernfalls wäre mir diese Lizenz für so ein Beschiss zu teuer bzw. würd ich nichteinmal 1 cent dafür ausgeben.

Sind nur AntiVir Anwender betroffen? Ich meine aber wirkliche AntiVir Anwender, die zu der Zeit wo der W32 Stanit sich gemeldet hat auch AntiVir Personal Classic Edition drauf hatten ;)

Genug von der Seele geredet :D Hoffe auf paar interessante Antworten auf dieser sehr informativen Seite ;) (lob auch an die Betreiber)

Gruß
Biber
Biber 20.01.2006 um 17:39:12 Uhr
Goto Top
@Xstyle

und zu dem noch so etwas wie W32 Stanit evtl. ins Leben ruft

Nochmal und auch in fett:
urban legend 1: AntiVir aktiviert friedlichen W32/Stanit. Bullshit.
urban legend 2: W32/Stanit kommt irgendwie über M$-Updates ins System. Bullshit, too.

Wenn Du meine Beiträge auch in anderen Threads verfolgst - ich stehe bestimmt nicht auf M$s Gehaltsliste und traue einem Windows-Betriebssytem nicht weiter, als ich es werfen kann. Und AntiVir Classic ist nicht mal unter unter den Top 5 meiner Lieblings-AV-Tools.

Fakt ist (laut Biber 2006):
- W32/Stanit verbreitet sich über (nicht schreibgeschütze) Netzfreigaben
- AntiVir Classic/Freeware ist NICHT zum Einsatz auf Netzfreigaben lizensiert und gedacht und dort nicht verlässlich
- W32/Stanit befällt "nur" *.exe-Dateien (ich finde auf keiner AV-Seite etwas anderes)

Behauptung Biber 2006 ist:
- AntiVir Classic neigt zu Fehlalarmen in der Konstellation "Stanit ist aktiv" und Netzwerkfreigaben sind vorhanden. Dann werden unschuldige *.exe und sogar auch *.ini-Dateien als befallen angemeckert.

Und ich bitte nochmals diejenigen, die so eine "befallene" INI-Datei auf dem Rechner angezeigt bekommen: Listet das Ding doch mal auf den Bildschirm mit "type xyz.ini" vom CMD-Prompt. Oder schaut das im Editor an. Da kann nichts passieren. *schwör
Oder meinetwegen prüft die INI-Datei in einer der Internet-Viren-Sandboxen (siehe Link oben).

Bin natürlich gerne bereit, dazuzulernen - aber das ist mein heutiger Kenntnisstand.

Schönes Wochenende
Biber
bluefox
bluefox 21.01.2006 um 22:50:16 Uhr
Goto Top
Ich versuch mal meine Version einer Zusammenfassung

Da W32/Stanit hauptsächlich über Netzwerkfreigaben reinkommt

1.) Die MS Firewall blokiert die Freigaben nicht, bringt also in diesem Falle genau nichts.
2.) Ueberprüft eure freigaben, eine Auflistung gibts unter:
-> Rechtsklick auf Arbeitsplatz -> Verwalten -> Freigaben
a.) Falls Ihr keine Freigaben braucht weills z.B. eh der einzige PC im Netz ist schaltet die "Datei und Druckerfreigabe" ab:
entweder: -> Start -> Einstellungen -> Netzwerkverbindungen -> Rechtsklick auf die Netzwerkverbindung -> Einstelleungen und da Häkchen bei Datei und Druckerfreigabe wegmachen
oder: -> Rechtsklick auf Arbeitsplatz -> Verwalten -> Dienste und Anwendungen -> Dienste und den Server Service auf Deaktiviert (hier ist es möglich das andere funktionen die gebraucht werden nicht mehr funktionieren, mir kommt nur grad keine in den sinn)
b.) Falls ihr Freigaben braucht, hilft nur alle Kisten im Netz scannen und herausfinden auf welcher der Virus aktiv ist, stellt auch sicher das keine der Kisten direkt vom Internet erreichbar ist oder wenn dann nur mit gesperten SMB ports (Ihr wollt ja nun wirklich nicht das eure beschreibaren Shares im Internet auftauchen face-smile
Oder/Und führt ein Rechtesystem ein damit Benutzername/Passwort eingegben werden muss bevor auf ein Share geschrieben werden darf.


PS: Falls Ihr wissen wolt ob die wininet.dll infiziert ist, könnt ihr diese bei:
http://virusscan.jotti.org/de/ hochladen und testen lassen
Ist sie infisziert, könnt ihr sie umbenennen UND mit der in C:\WINDOWS\ServicePackFiles\i386\wininet.dll ersetzen. Löscht ihr oder der Virenscanner die Datei nur wird bei Eingeschalteter Systemwiederherstellung von Windows frisch fröhlich wieder mit eine infiszierte wininet.dll hinkopiert!

PS2: UND führt punkt a.) aus wenn ihr mit eurer Kiste an eine Lanparty geht
ahnungsloser
ahnungsloser 23.01.2006 um 21:17:14 Uhr
Goto Top
ah, der virus nervt mich.
hab schon zig virenscanner jetzt versucht.
norton
f-prot
antivir
avast
ewido

antivir kannst da ja echt in der pfeife rauchen,
der avast war nicht schlecht, nach der installation hat dieser im dosmodus alle infizierten dateien erstmal in container.
NUR, wie Reparier ich die?

angefangen hats, dass ich mal neue virenscanner testen wollte, da ich mein system eh neu aufsetzen wollte. wollte einen zuverlässigen scanner, der auch mails check,
laut empfehlungen hab ich mal GData.AntiVirusKit.2006 getestet und fand den, wie im testbericht beschrieben "gut", jedoch mit surfen im netz is dann nimmer so lustig, wenn der systemleistung so runterdrückt.
den besten fand ich bisher den avast. läuft momentan auch drauf. jedoch weis ich nicht wie ich diesen W32:stanit oder Win32:Tenga nun loswerden kann.

Wisst ihr schon mehr????
ampuwa
ampuwa 24.01.2006 um 12:31:08 Uhr
Goto Top
nach nunmehr 15 Tagen abwarten und sehen was passiert, kann ich mich nun wieder melden ohne *müll* beizutragen.

ich versuche mal die ganzen Eindrücke einigermassen verständlich wiederzugeben:

1. Auf 5 Rechnern im Netzwerk sind unterschiedliche Laufwerke, Partitionen und Ordner freigegeben.

2. Auf 4 Rechnern läuft AntiVir "premium"

3. Kollege Stanit war nur auf meinem Hauptrechner. Und hier eine Korrektur: ich hab in meinem letzten Posting geschrieben "auch .com, .ini und .dll-Dateien infiziert". Error - wer lesen kann ist klar im Vorteil - bei den Dateien waren andere Kollegen am Werk. Es waren also nur .exe-Dateien betroffen.

4. Stanit hat einige wenige .exe-Dateien verschont. Warum? Keine Ahnung. Darunter war auch der WinCommander und das war recht vorteilhaft. Jedenfalls solange ich den Rechner nicht neu gebootet habe.

5. Reparieren liess sich keine Datei so wirklich. Das Tool "vcleander.exe" hat zwar bei den meisten Dateien - nicht allen - den burschen entfernt, jedoch waren die meisten danach unbrauchbar.

6. Durch Microsoftupdates kann ich ihn mir nicht geholt haben, weil ich keine durchgeführt habe.

7. Irgendwo hat jemand geschrieben, dass ihm nach einem neustart mit seinem passwort der zutritt verwehrt wurde. ich glaube, dass ist nicht ganz richtig. ich habe nämlich festgestellt(siehe unter 4.), dass das pw akzeptiert wird, es erscheint ganz kurz die meldung: "Einstellungen werden geladen", jedoch springt das Programm dann sofort wieder ins Login zurück und deshalb kommt man nicht rein. Also nicht, weil das pw geändert wurde.

8. die Datei "dl.exe" ist keine .exe-Datei. ich habe sie mir mit einem Editor angesehen und festgestellt, es handelt sich eindeutig um ein Script. evtl. VBS

9. ich habe den kompletten Inhalt meiner infizierten Partition mit Linux auf eine andere Partition kopiert Und habe dann

10. Die Windows-Bootpartition, also LW C, mit einem früher unter Acronis True Image gesicherten Image wieder hergestellt.

Seit den oben vermerkten 15 Tagen habe ich keine Probleme mehr und keine Meldungen von AntiVir. Ausserdem lasse ich den Rechner - den Mutigen gehört schliesslich die Welt - zu Testzwecken sowohl im normalen Internetverkehr als auch beim Betrieb von Filesharing-Programmen laufen währed der Router sich im DMZ-Modus befindet. Offensichtlich fühlt sich Stanit bei mir nicht mehr wohl.

Mein nächster Schritt wird sein, die Systemwiederherstellung wieder zu aktivieren. Über das Ergebnis informiere ich Euch dann in den nächsten Tagen.

@Biber: wenn du den Inhalt der dl.exe sehen möchtest, einfach melden, ich kopier sie dann hier rein.

Ich wünsche uns allen eine virenfrei Zeit.

Heinz
Xstyle
Xstyle 25.01.2006 um 11:33:32 Uhr
Goto Top
hallo gester stanit aktivierung
bin jetzt an dem punkt mit dem passwort
fenster auch im abgesicherten modus. komm
ich noch in meinen pc um die datei
\wininet.dll umzuschreiben?
oder ist eine format c alles was hielft?

Ja natürlich ;)
Rechner im DOS Modus starten
Ins Windows/system32 wechseln
hier die Vorgehensweise:
c:
cd\
cd windows
cd system32
rename wininet.dll wininet.bak (oder ein anderer name)

Falls das nicht funktioniert wieso auch immer, dann am besten Knoppix oder Winternals nehmen (also bootbare Betriebssysteme bzw. Repairproggs). Winternals ist echt zu empfehlen ;) Da kann man wirklich alles ändern was mit dateien, ordnern, partitionen, passwörtern usw.. zu tun hat. Und das alles Winoffline (also ohne dass Windows gestartet ist).

Soo mir war langweilig und hab so bissl gesucht nach dem fiesling und hab was kleines über ihn gefunden, wen es interessiert hier bitteschön:

http://www.viruslist.com/en/viruses/encyclopedia?virusid=88153

So long...
Xstyle
Balthasar
Balthasar 25.01.2006 um 18:01:49 Uhr
Goto Top
Also, wie ich ja geschrieben hatte ist das Ding, seit ich alle weiter oben aufgeführten Maßnahmen durchgeführt habe, komplett wech. Kam nich wieder bis jetzt, ich hab aber auch fast alle Freigaben entfernt, und nu bin ich eigendlich noch immer glücklich. Ich persönlich konnte das Ding entfernen ohne mein System platt machen zu müssen, und denke bin gut dammit gefahren. Bei mir läuft zwar immer noch Antivir drauf, aber außer mit dem Stanit hat ich auch nie Beschwerden, was das Teil angeht. Firewall läuft natürlich auch, selbstverständlich nich die von Microdoof. Falls sich doch noch mal was bei mir ändern sollte meld ich mich natürlich wieder, aber ich denke das Ding lässt sich eigendlich ganz gut entfernen ohne System zu plätten. Ich bin auch froh drüber, da ich mein Dienst USB-Stick regelmäßig an den Rechner anschließe. Würd zwar schnell mitbekommen wenn der verseucht wär, aber dumm wärs trotzdem fürn Staat. *g*
ahnungsloser
ahnungsloser 25.01.2006 um 18:43:07 Uhr
Goto Top
so am rande habe ich gerade gesehen,
dass die windowsfirewall programme aufgelistete hat.
mein avast hatte ausschließlich von diesen programmen die EXE in den Container.
hierunter fielen
Datei-und Druckerfreigabe TCP 139 & 445 UDP 137 & 138
ICQ Lite
Internet Explorer
java
mIRC
NetSchafkopf
onlineTV
REmoteunterstützung
Skype
uPnP-Framework

jemand noch tips, wie man die "sicherer macht?"
Kogoro
Kogoro 05.02.2006 um 15:50:04 Uhr
Goto Top
So, dann zieh ich mit meinem Hilfegesuch auf Bibers Bitte hin mal hier her um. Zunächst nochmal mein Beitrag aus dem anderen Thread:

"
ich hab mir gestern leider auf irgendeinem Wege den W32.Stanit eingefangen (Antivir nennt ihn zumindest so), das erste Mal, dass ich so einen schwierigen Virus auf dem Rechner hab. Habe demzufolge leider keine Ahnung, wie ich mit sowas am besten umgehe, und habe auch bei der Suche im Archiv nicht wirklich durchgeblickt - deshalb hoffe ich, dass ihr mir vielleicht helfen könnt.

Der Virus scheint schon einige EXEs infiziert zu haben, inkl. den Virenscannern wie Antivir (das Programm findet ihn aber trotzdem noch?). Ich habe mich aber nicht getraut, die betroffenen EXE-Dateien einfach zu löschen, sondern vorerst erst mal das Netzwerkkabel rausgezogen und den PC runtergefahren (Windows XP SP 1). Außerdem habe ich auf der Partition noch einige Dateien (Fotos, Dokumente), die ich zwar regelmäßig sichere, aber meine Sicherungen sind nicht ganz auf dem neuesten Stand, weshalb ich das Zeug gern retten würde.

Der Virus scheint ja schon seit einem guten halben Jahr im Umlauf zu sein, deshalb hatte ich gehofft, das sich inzwischen vielleicht ein bestimmter Weg ihn loszuwerden rauskristallisiert hat.

Könnt ihr mir also vielleicht sagen, wie ich ihn am besten (sofern möglich natürlich ohne Datenverlust) los werden kann? Geht's vielleicht auch ohne format c...? Wäre natürlich klasse, bin wie gesagt kein wirklicher Experte auf dem Gebiet und je leichter und unkomplizierter, desto besser..."

Leider habe ich wie gesagt wenig bis gar keine Erfahrung im Umgang mit Viren, und Stanit scheint ja leider ausgrechnet noch ein besonders fieser Zeitgenosse zu sein.

Könntet ihr mir vielleicht den Gefallen tun und mir eine kleine, möglichst einsteigerfreundliche (d.h. detaillierte) Anleitung für Einsteiger machen, wie dem Ding beizukommen ist? Ich hab jetzt hier in dem Thema ja schon was von einer dl.exe, einer wininet.dll und dem Deaktivieren der Systemwiederherstellung (wo macht man das?) gelesen, aber wirklich durchgeblickt habe ich leider nicht...

Wäre daher wirklich klasse, wenn ihr mir unter die Arme greifen könntet, um den Schaden so gering wie möglich zu halten und Stanit loszuwerden. (Macht der eigentlich noch was anderes außer EXEs zu infizieren und zu zerstören, oder sind andere Dateien wie Bilder, ... einigermaßen sicher?)

Vielen Dank im Voraus!

Euer hilfloser Grünschnabel
Kogoro
Biber
Biber 06.02.2006 um 10:33:19 Uhr
Goto Top
@gas01ine @Kogoro

Nur kleine Ergänzung:
Die dl.exe, die angelegt wird, ist keine *.exe, ssondern ein relativ billiges JavaScript. Die nicht vergessen zu entsorgen (baut verbindung zu Malware-Servern auf und lädt Schadstoffe nach).

Sonst kann ich nur gas01line zustimmen.
Gruß Biber

P.S. Die befallenen *.exe-Dateien kannst Du fast immer abschreiben - Stanit hängt sich zwar "nur" an das Ende der Exe-Dateien an, aber nur, wenn sich dadurch der belegte Speicherpaltz der *.exe-Datei nicht ändert (Gap-Filling). Wenn das nicht passt - und das ist meistens so- fängt er halt ein ein Stück weit vorher an, sich selbst zu schreiben. Über den Original-Exe-Code.
ampuwa
ampuwa 06.02.2006 um 20:14:12 Uhr
Goto Top
<p>"Wäre daher
wirklich klasse, wenn ihr mir unter die Arme
greifen könntet, um den Schaden so
gering wie möglich zu halten und Stanit
loszuwerden. (Macht der eigentlich noch was
anderes außer EXEs zu infizieren und
zu zerstören, oder sind andere Dateien
wie Bilder, ... einigermaßen
sicher?)"
</p>
Also ich würde folgendes vorschlagen:
1) wininet.dll umbenennen und verschieben
2) alle netzwerkfreigaben entfernen
3) die betroffenen exe's löschen
4) mit anderen scannern, wie z.b. kaspersky
und/oder <a
href="http://www.pandasoftware.com/activescan/activescan/ascan_1.asp"
target="_new">panda active
scan</a> mal schauen, wie es dann auf
dem system ausschaut.
5) bilder und dokumente sichern -
dürften zu 99% unbehelligt geblieben
sein
6a) wenn sonst alles gut ausschaut:
applikationen der gelöschten exe's neu
installieren und mal 2 wochen abwarten. gute
firewall anschaffen, die *immer* läuft.
(z.b. ZoneAlarm)
6b) wenn der virus wieder da ist, die ganze
prozedur ab 3) abfahren.

so würde ich es machen - ist aber
sicher nicht der beste weg. vermutlich
können andere forum-schreiber hier
meinen lösungsweg konstrktiv
ergänzen und verbessern. aber ein
anfang wär es schon mal.

hier denn auch eine (hoffentlich) konstruktive Ergänzung. ich hatte schliesslich genügend zeit mich mit unserem liebling zu beschäftigen.

ob es relativ einfach wird bzw. ohne 'format c' zu bewältigen ist, hängt nicht unerheblich davon ab, wie du vorgegangen bist, als antivir alarm geschlagen hat.
wenn du jede meldung mit "betroffene datei löschen" beantwortet hast, dürfte in deinem system so ziemlich nichts mehr funktionieren, sodass eine komplette neuinstallation wohl unumgänglich wird. in diesem fall empfehle ich dir, dir ein von cd bootbares betriebssystem (z.b. knoppix) zu besorgen um bequem alle wichtigen dateien (dokumente, bilder, videos usw) zu sichern und/oder auf andere partitionen zu verschieben.
hast du auf "datei umbenennen" oder "in quarantäne verschieben" geklickt, wirds 'etwas' einfacher. in diesem fall solltest du dir zunächst das tool 'vcleaner.exe' besorgen, du findest irgendwo weiter oben in diesem thread einen link dorthin. die meisten dateien kann es desinfizieren (aber nicht reparieren) einige wenige sind danach noch funktionsfähig - aber nur einige wenige. es werden aber auch hier ein paar dateien übrigbleiben, an denen 'vcleaner' wirkungslos abgeprallt ist. wenn du beim wiederherstellen deiner programme die übersicht behalten willst, brauchst du die infizierten dateien möglicherweise noch MUSST SIE DANN ABER AUF JEDENFALL UMBENENNEN um nicht noch mehr in trouble zu geraten. ich empfehle die gleiche endung, die auch antivir benutzt also <.VIR> finden wirst du sie, indem du nach dem einsatz von 'vcleaner' den virenscanner laufen lässt.
nächster schritt: mach dich auf die suche nach "dl.exe". diese datei hat sich bei der arbeitsaufnahme von w32/stanit in u.u. mehrere programmordner eingetragen. bei mir waren es die ordner aller aktiven programme.
Ach ja, wenn dein system noch funktionieren sollte oder spätestens wenn es wieder funktioniert, deaktiviere umgehend die systemwiederherstellung:

Start > Systemsteuerung > Leistung und Wartung > Systemwiederherstellung > im Fenster Systemeigenschaften der Reiter Systemwiederherstellung und dort bei 'Systemwiederherstellung auf allen Laufwerken deaktivieren' ein häkchen setzen.

Und damit kommt auch gleichzeitig das in meinem letzten posting versprochene feedback "was passiert, wenn ich die systemwiederherstellung wieder aktiviere":

ich werde von jedem laufwerk aus, bei dem die systemwiederherstellung aktiviert ist, von stanit begrüsst. gott-sei-dank nur aus einem unterordner der "System Volume Information".
ich hab dann sofort wieder die systemwiederherstellung deaktiviert und nu ist wieder ruhe im schacht.

ich hoffe, das oben geschriebene verwirrt nicht zu sehr - es ist leichter zu machen als zu beschreiben - aber vielleicht hilft es dir ja weiter.

grüsse und viel erfolg,

ampuwa

edited by myself: hier der link zum "vcleander" www.grisoft.cz/softw/70/filedir/util/avg_rem_sup.dir/vcleaner.exe
Kogoro
Kogoro 06.02.2006 um 21:48:35 Uhr
Goto Top
Hi,

erst mal danke an alle für die tatkräftige Unterstützung! (Wäre alleine wohl ganz schön aufgeschmissen...)

@gas01ine:
Die Wininet.dll habe ich umbenannt und in einen neu angelegten Ordner gesperrt, sowie anschließend durch eine (hoffentlich?) saubere Version von wo anders aus dem System ersetzt. Allerdings deutete bei keiner der wininet.dll-Dateien das Änderungsdatum darauf hin, dass hier was von einem Virus manipuliert worden wäre (Stand: irgendwann 2004). Dürfte wohl normal sein, nehme ich an. Oder war die wininet.dll am Ende gar nicht infiziert? Ist das etwa möglich? Habe immer noch nicht ganz begriffen, welche Rolle diese Datei im Zusammenhang mit Stanit spielt, konnte das denn schon zweifelsfrei nachgewiesen werden? (Eigenartigerweise wurde die umbenannte alte wininet.dll nämlich von einem Online-Dienst, bei dem man bedenkliche Dateien hochladen und mit mehreren Virenscannern auf Infektionen testen kann, als unbedenklich befunden.)

Die install.exe sowie dl.exe, die Stanit in meine Gemeinsamen Dokumente gepflanzt hatte, habe ich entsorgt, sowie die Freigaben allesamt entfernt - insofern sollte da ein weiteres Hintertürchen geschlossen sein, oder?

Meine Bilder und Dokumente konnte ich inzwischen auch alle sichern (-> USB-Stick), das war ja das wichtigste. Insofern kann ich da schon mal durchschnaufen. face-smile

Was die *.exe-Dateien angeht bin ich gerade etwas verwirrt... Die Sache ist die: Als Antivir das erste mal ausschlug, hab ich vor lauter Panik, dass ich einen Virus hatte, der noch dazu schon so enorm viele exe-Dateien infiziert hatte, erst mal Antivir (das zu diesem Zeitpunkt vom Virus offensichtlich eh schon verändert worden war) geschlossen, das Netzwerkkabel gezogen und den Rechner runtergefahren.

Dann habe ich mich erst mal in Ruhe von einem anderen PC aus informiert und u.a. bei euch hier Tipps bekommen. Dabei wurde mir u.a. ein besonderes Programm empfohlen, das wohl nur auf die Entfernung von Stanit und einem weiteren Virus abzielt (http://www.avira.com/en/products/AVIRA_Removal_Tool_for_Windows.html).

Dieses Programm ließ ich auf dem infizierten PC dann drüberlaufen, woraufhin es quasi alle exe-Dateien auf dem ganzen System als infiziert meldete. Bei den meisten gab das Programm dann an, den Virus erfolgreich entfernt zu haben, nur bei einigen wenigen kam noch der Vermerk, dass die exe wohl zerstört worden und nicht mehr zu reparieren sei.

Nach der Prozedur ließ ich noch mehrere andere Virenscanner (u.a. NOD32, das empfohlene vcleaner-Tool) drüberlaufen (fanden nur noch einige Dinge, die nichts mit Stanit zu tun zu haben scheinen) und deaktivierte anschließend die Systemwiederherstellung.

Seitdem scheint kein Virenscanner, egal ob ich ihn direkt von einer CD, oder von dem (ehemals?) verseuchten System aus starte, eine Infektion mit Stanit feststellen zu können.

Das komische aber: Ihr meint ja, dass man die *.exes wohl alle vergessen könne. Bei mir laufen die ganzen Programme usw. allerdings alle noch einwandfrei! Nur Antivir sowie Nero z.B. meckern, dass ihre CRC-Summe verändert worden sei (durch einen Virus) und verweigern daher den Dienst. Aber das dürfte normal sein, auch nachdem die Infektion nun weg zu sein scheint, oder? Die Programme, die daher meckern, muss ich jetzt sicher neu installieren, klar - aber all die anderen (der Großteil), die anstandslos laufen... Müssen die aus Sicherheitsgründen auch neu installiert werden?

Bin jetzt nur etwas verwirrt, weil die Infektion bei mir irgendwie ja anders verlaufen zu sein scheint, als ihr dachtet. Ist meine "Sicherheit" gerade etwa nur eine Farce und Stanit schlummert hier noch irgendwo? Oder hatte ich einfach Glück, dass ich irgendwie noch glimpflich davongekommen bin? Fragen über Fragen, die mich als Virus-Unerfahrenen vor ein Rätsel stellen. face-wink

Jedenfalls noch mal vielen, vielen Dank für die Tipps!

P.S.: Ich kann mit dem System ja auch ganz normal arbeiten, schreibe diese Nachricht sogar gerade von dem betroffenen PC aus.

P.P.S.: Ich hatte übrigens keine weiteren dl.exe-Dateien auf dem System, hatte die eine via ms dos-modus gelöscht und keine weiteren mehr gefunden.
Zumfra
Zumfra 07.02.2006 um 13:49:48 Uhr
Goto Top
Hallo Jungs

Was ist hier eigentlich los?

Sucht ihr wirklich nach eine Lösung oder schmeißt ihr euch eure PCs und Systemkenntnisse am Kopf.

Ich dachte dieser Forum hätte den Zweck alle zu helfen die nicht mehr weiter kommen.

Mitte Dezember habe ich euch alle schon 2 Mal gesagt wie man es macht.

Ihr redet so ein Unsinn, es ist nicht zu ertragen.

Es geht nicht mehr um einen Virus bekämpfung sondern nur noch um dll und java Script und was noch so ein Müll der keiner interessiert.


DER SINN DER SACHE HIER IST NICHT MAL STANIT. SONDERN WIE BEKÄMPFE ICH EINEN VIRUS BAFALL UND WIE SCHÜTZE ICH MICH VOR WEITERE EINGRIFFE:


Ihr könnt bis zur nächste Jahrundertswende herumphilosophiren, solange ihr eure virus scanner unter Windows laufen lässt wird ihr weiter Probleme haben.

Ein Virus (egal welche) versteckt sich immer in den Windows system Dateien die sowieso den Zugriff verweigern solange Windows läuft.

Aus dem Grund:

1) Man holt sich einen bootbare Antivirus CD -Kasperski, F-Prot oder ein anderen- und lässt seinen Rechner unter dos durch scannen.

Wieso eine CD????
weil die daten darauf unmöglich infiziert sein können.

wo bekomme ich so eine CD?????
alle viertel bis halbes Jahr bringt die CT'(Zeitung für Computer Technik) eine so genannte Knopicilin CD (Wortspiel zwischen Knoopix und Penicilin, wenn ihr den nicht versteht musst ihr euch dokumentieren).
Diese CD enthält immer die neuste Version von mindestens 2 der berühmteste Antivirus bekämpfer.
Und sie macht alles allein. GANZ TOLL!

2) Wenn alle befallene Dateien (exe bei Stanit) beseitigt sind lässt man, auch vom CD, Windows sich selbst reparieren und zwar nur bei der 2. Aufforderung. Sie hat den Vorteil dass alle persönliche Einstellungen beibehalten werden.

3) Beim ersten Hochfahren zu aller erst einen Antivirus frisch installieren und aktivieren. AUCH VON EINE CD!!

4) Alle betroffene Anwendungen nach und nach neu installieren IMMER NOCH VON EINE CD

UND EIN FÜR ALL MAL """ ALLES KLAR """


* Noch dazu ist es eine gute Gelegenheit den Rechner auszumisten

* Für Trojaner muss man auch im MS Config bei Systemstart nur die unbedingt notwendige anwendungen angeklickt lassen (normalerweise ganz wenig).


Es ist die einzige Methode den ### ein entgültiges Ende zu machen.

Der Rest eure gequatsche hat nur den Ergebnis Leihen zu verirren und unsicher zu machen.

Wir schreiben hier um zu helfen und nicht um uns wichtig zu machen..

Wer eine persönliche kostenlose betreuung möchtet kann sich gerne an mich wenden: Zumfra@freesurf.fr
Biber
Biber 07.02.2006 um 14:05:22 Uhr
Goto Top
@Zumfra
Danke für die wertvollen Informationen und Entschuldigung, dass ich mich eingemengt habe.
Dein Angebot der kostenlosen Einzelbetreuung nehme ich gerne an - muss ich außer Zettel und Stift noch irgendetwas mitbringen?

Liebe Grüße
Biber
Zumfra
Zumfra 08.02.2006 um 10:08:11 Uhr
Goto Top
Hi Biber

Entschuldige meine Reize aber in Wirklichkeit habe ich dich nur widerholt.
In einem deine Beiträge klagtest du selbst über die Undurdringlichkeit der Informations Fluss und schlagtest vor, dass jemanden den Haufen aufräumen sollte damit man das wichtigste wieder findet.
Ich habe dieser Virus erfolgreich entfernt und bin seid Monate frei aber das scheint keiner zu interessieren.
Das wollte ich zum Ausdruck bringen.
Als ich hier zum erstemal war habe ich mir wichtige Tips geholt (vieleicht sogar von dir) sie eingewändet mit meiner Erfahrung gemicht und "SUCCES".
Ich verstehe garnicht was noch zu sagen ist.
Man braucht eine Lösung; Jemand findet sie und Basta.
Das Biest ist tot.

Was gibt es noch zu diskutieren?

Keiner und am wenigste ich verlangt nach verbeugung oder sogar dankeschön.
Seit ich Stanit platt gemacht habe war ich garnicht mehr auf dieser Seite aber mein Mailprogramm sagt mir jeden Tag dass neue Beiträge gekommen sind und ich weiss nicht wie man es abstellt.
Nur gestern habe ich endlich geguckt was sich hier alles tut und musst mit Entsetzen merken dass hier sich nichts geändert hat.
Ich staune über eure Vorstellung eines sollchen Forum.
Wir reden nicht hier über Philosophie. Wir suchen Hilfe und Lösungen.

Sag mir wie man dieser Mailbenachrichtigung abstellt und ich werde nicht mehr geneigt hierhin gucken zu wollen.

Danke trotzdem für eure Hilfe weil ihne eure Tips hätte ich es bestimmt nicht so schnell geschaft.
Zumfra
Zumfra 08.02.2006 um 18:17:30 Uhr
Goto Top
Hi!
Dein Akzent und auch weil du die französische Forums erwähnts frage ich mich ob du auch aus meinem Heimatsland kommst.
Wenn ja, woher?
Eric

Zumfra@freenet.fr
kleingnom
kleingnom 09.02.2006 um 14:29:30 Uhr
Goto Top
ich kenne dieses ding auch, hat alles auseinander genommen! haben nach langer Zeit und vielen versuchen den virus entfernt aber nicht richtig. er ist immer noch zu finden mit antivir ist aber zum glück noch nicht ausgebrochen weis wer mit welchem Programm man ihn entfernen kann?

gruß kleingnom
ampuwa
ampuwa 11.02.2006 um 13:57:18 Uhr
Goto Top
ich kenne dieses ding auch, hat alles
auseinander genommen! haben nach langer Zeit
und vielen versuchen den virus entfernt aber
nicht richtig. er ist immer noch zu finden
mit antivir ist aber zum glück noch
nicht ausgebrochen weis wer mit welchem
Programm man ihn entfernen kann?

gruß kleingnom


Lies einfach das letzte Posting von Zumfra, bei jeder anderen Antwort explodiert der sonst wieder.
Zumfra
Zumfra 11.02.2006 um 15:26:44 Uhr
Goto Top
Ach quatsch! Ich explodiere nicht.
War vieleicht ein bißchen krantig aber es ist typisch für Südländer.
Ausserdem muss du zugeben dass die Frage Unserer Kleingnom zeigt dass wir alle bisher umsonnst geschrieben haben oder?

Ich denke wir sind ein gutes Team und die Tage von Stanit sind gezählt.

Schönes Wochenende an alle.

Eric
Vierenfan
Vierenfan 05.03.2006 um 11:05:12 Uhr
Goto Top
Hy ich hatte W32/Stanit auf dem Rechner und hab Antivir laufen lassen der fand 2 infizierte exen. Die habe ich erstmal in Quarantäne geschickt und dann gelöscht. Programme waren dann in arsch aber biss jetzt hat sich w32/staniet nicht mehr blicken lassen aber was tuhen wenn es wieder kommt?

Mfg David
Thx für Antworten
Semjasa83
Semjasa83 20.03.2006 um 08:01:23 Uhr
Goto Top
ja ich hatte Gestern auch die Bekanntschaft mit diesem kleinen Freund.
Leider ist es mir nicht gelungen die Verseuchtenanwendungen zu löschen da dieser sich bei mir durch AntiVir über das ganze System verbreitet hatte.

Nachdem alle Exe Dateien befallen waren wurde meine Prozessorauslastung auf 100% raufgefahren und mein Arbeitsspeicher aufgefüllt, so das eine weitere Arbeit nicht möglich war.

Mir blieb nur eine Komplette Neuinstallation.

Falls jemand neue Infos hat wäre ich dankbar da nun mein anderer Rechner seltsamerweise befallen ist, obwohl beide nicht mit einander verbunden sind.
Gruß,
Semjasa83
Semjasa83 20.03.2006 um 08:01:25 Uhr
Goto Top
ja ich hatte Gestern auch die Bekanntschaft mit diesem kleinen Freund.
Leider ist es mir nicht gelungen die Verseuchtenanwendungen zu löschen da dieser sich bei mir durch AntiVir über das ganze System verbreitet hatte.

Nachdem alle Exe Dateien befallen waren wurde meine Prozessorauslastung auf 100% raufgefahren und mein Arbeitsspeicher aufgefüllt, so das eine weitere Arbeit nicht möglich war.

Mir blieb nur eine Komplette Neuinstallation.

Falls jemand neue Infos hat wäre ich dankbar da nun mein anderer Rechner seltsamerweise befallen ist, obwohl beide nicht mit einander verbunden sind.
Gruß,
Biber
Biber 15.06.2006 um 15:09:43 Uhr
Goto Top
Moin Deaod,

ich hoffe, jemand anderes hat neuere Erkenntnisse als ich.
Ich hatte weiter oben geschrieben:
P.S. Die befallenen *.exe-Dateien kannst Du fast immer abschreiben - Stanit hängt sich zwar "nur" an das Ende der Exe-Dateien an, aber nur, wenn sich dadurch der belegte Speicherplatz der *.exe-Datei nicht ändert (Gap-Filling). Wenn das nicht passt - und das ist meistens so- fängt er halt ein ein Stück weit vorher an, sich selbst zu schreiben. Über den Original-Exe-Code.

IMHO kannst Du die Dateien also nicht (immer) wiederherstellen. Nur neu installieren.

Sorry
Biber
Biber
Biber 15.06.2006 um 15:09:50 Uhr
Goto Top
Zumfra
Zumfra 15.06.2006 um 17:14:50 Uhr
Goto Top
Hi!
An alle die sich gerade zugeschaltet haben und lämpfen gegen unserer mittlerweile süßer Freund Stanit.
Die ist ein Forum.
Alles, aber alles ist schon über Stanit geschrieben worden und besonders wie man es bekämpft, beseitigt und besigt.
Ihr braucht nur nach oben zu scrwalen, zu lesen und euch ran zu machen.
Schönes Wochenende und Gratuliere zur Einzug in Achtelfinale.
Zumfra
ampuwa
ampuwa 10.07.2006 um 16:03:33 Uhr
Goto Top
hallo AmuN,

alle erforderlichen Erklärungen erhälst du, wenn du diesen Thread komplett durcharbeitest.
Aber eines kann dir vorweg schon mal sagen: ich weiss zwar nicht warum, aber irgendwie nistet sich das Mistding in der Systemwiederherstellung ein. Ich hab sie deaktiviert und seitdem hab ich Ruhe; und das schon viele, viele Monate.
Tut mir leid, dass ich keine bessere Nachricht für dich habe. Und dass ich dich auf die anderen Postings verweise anstatt hier alles zu erklären, liegt in der Natur der Sache... warum soll ich alles wiederholen, was schon bereits geschrieben wurde.

Viele Grüsse und save surfing,

Heinz
Zumfra
Zumfra 07.09.2006 um 12:51:18 Uhr
Goto Top
Stanit spezialitä ist sich in exe und system Dateien zu verstecken deswegen muss du die infizierte alle löschen.

Habe diese Beschreibung schon 2 oder 3 Mal geschrieben aber für dich kommt sie noch einmal.

1. Unter Dos (nicht unter Windows), am beste von eine BootCD, eine Neuste Antivirus (egal welche) laufen lassen mit Einstellung: Alle infizierte Dateien löschen. Keine Bange um deine Daten, bisher war Stanit nur in exe un d nicht in Archiven.

2. Vom XP Pro CD booten.

und jetzt SEHR WICHTIG WENN DU DEINE EINSTELLUNGEN RETTEN WILLST!!!

Bei der ERSTE Frage: Installieren oder Reparieren auf installieren gehen.
dann kommt nochmal die Frage Installieren oder Reparieren. Diesmal auf reparieren gehen und laufen lassen.
XP repariert sich selbst komplett und übernimmt deine Einstellungen. (Ohne die Fehler wie 98 es leider immer tut).

3. Hochfahren und zuerst einen Antivirus Programm UNBEDINGT vom original CD (oder vor der Plage gebrannt) installieren und laufen lassen.

4. Jetzt muss du allerdings alle Anwendungen die getroffen waren neu installieren aber möglichst von CD.

Dieser Vorgang hat bei mir und alle anderen Rechner wo es angewendet wurde funktionniert und Stanit ist nur noch eine nicht mal sehr Böse Erinerung. Lovesan war zuerst schlimmer.

Eric
Zumfra
Zumfra 09.09.2006 um 20:00:38 Uhr
Goto Top
Auf meinem Rechner habe ich 2 grosse Festplatten in 6 patitionniert.
3 + 3. Wenn ich c: formatiere und xp neu installiere bleiben alle *.exe auf den anderen Partitionnen bestehen und infizieren umgehend die neue C:
Das war etwas vergleichbares was ich von deinem Bericht verstanden hatte.
Egal welche CD oder DVD denn du gebrannt hast bevor du stanit entdeckt hast ist infiziert.
Auf eine formatierte Platte und auf eine Original xp cd ist kein Virus, es ist nicht möglich.
Das ist was ich mit meine Lösung vorschlage..
ampuwa
ampuwa 19.09.2006 um 09:26:11 Uhr
Goto Top
hi sytero,
es gibt noch einen aspekt, den ich hier aber rein hypothetisch anführen möchte, da ja niemand illegal beschaffte software nutzt face-wink
in einem meiner ersten beiträge habe ich geschrieben, dass unser freund sich bereits mehrere monate auf meiner festplatte befand bevor er aktiv wurde. er kann sich also theoretisch auf einer (nicht originalen) cd befinden - also auch auf einer sicherungs- oder backup-cd.
ein weiterer punkt - und da kenne ich leider auch nicht die ursache - ist das problem mit der systemwiederherstellung. auch ich habe xp-pro völlig neu auf neu formartierter - anders ging es garnicht - festplatte installiert und wurde als allererstes freundlich von stani begrüsst. nach dem abschalten der systemwiederherstellung ---> ruhe, und das seit vielen monaten. schade, ein sehr nützliches feature damit zum teufel aber wenigstens nervt mich dieser kleine kerl nicht mehr. grüsse,
Heinz
the26
the26 11.02.2007 um 19:36:47 Uhr
Goto Top
Hallo,
habe den Stanit am 23.06.06 gehabt. Er kam bei mir auch immer wieder, hat AntiVir ausgeschalte, mit Kaspersky wurde er dann entfernt habe aber trotzdem formatiert und neuinstall, die Systemwiederherstellung immer deaktiviert, mache das jetzt mit Images
Ich habe allerdings auch nur eine Vermutung wie er bei mir drauf kam. AntiVir meldete schon ein 1/2 Jahr zuvor immer wieder bei scans oder öffnen von ATi Catalyst Treiber (hatte ich irgendwo im Netz gezogen) , das dieser mit Stanit verseucht sei, habe das als fehl Meldung interpretiert- nicht gelöscht, ja und dann kam es....3 Tage gebraucht, alle Rechner im Netzwerk verseucht, unzählige exe zerstört und dachte ich werde dieses Ding nie wieder los
Bis jetzt habe ich ruhe gehabt aber seitdem sehr vorsichtig geworden.
Dieses Ding wünsch ich mir nicht noch einmal und auch keinen Anderen als den Schreiber des Codes selbst.


Auf das er nie nie wieder kommt.
MfG
Volcom
Volcom 30.05.2007 um 18:19:59 Uhr
Goto Top
moin moin ich kam von einer Lan und auf einmal Spinnte mein INternet es ging nur sehr sehr langsam und auch nur 2 min danach kam diese siete kann nciht angezeigt werden und hatte auch eine fehler meldunf 16-bit teilsystem

hab windows 2 mal repariert ncihts hilf so dann habe ich mal mein antivir durchlaufen lassen und er hatte schon bei 57% 969 funde und es hörte lang nciht auf is das normal kann das daran liegen das mein internet nciht richtig geht?
Biber
Biber 30.05.2007 um 20:12:42 Uhr
Goto Top
Lieber Volcom,

sei allerherzlichst willkommen in diesem Forum!

Ich freue mich aufrichtig, diesen fachlich und sprachlich gleichermaßen fundierten Kommentar lesen und beantworten zu dürfen.

Einerseits erinnert es mich daran, dass ich diesen Thread eigentlich schon vor Monaten schließen wollte, bevor irgendein Blindfisch, der zu faul zum Lesen der vielen hilfreichen Antworten in diesem Beitrag ist, etwas Überflüssiges daruntersetzt.

Andererseits ist es eine wunderbare Gelegenheit für mich, Dir ein paar hilfreiche Links zu posten:

Bitte lies Dich dort ein bisschen ein, eröffne dann einen eigenen Beitrag und Du wirst noch mehr Antworten erhalten.

Diesen Beitrag schließe ich jetzt.

Ich weiss nicht, ob Dir die Namen Konrad Zuse oder Konrad Duden etwas sagen.
Wahrscheinlich nicht.
Jedenfalls haben beide irgendwie doch Glück, dass sie Deinen Kommentar heute nicht mehr erleben müssen.
Denn beide würden sicherlich lieber lachend in die Kreissäge springen als sich das anzutun.

Ganz liebe Grüße
@Biber